Pˇ ríruˇ cka administrátora Kerio Technologies

Rozměr: px
Začít zobrazení ze stránky:

Download "Pˇ ríruˇ cka administrátora Kerio Technologies"

Transkript

1 Příručka administrátora Kerio Technologies

2 C Kerio Technologies. Všechna práva vyhrazena. Datum vydání: 13. července 2006 Tento manuál popisuje Kerio WinRoute Firewall ve verzi Změny vyhrazeny. Aktuální verzi produktu a manuálu naleznete na WWW stránkách ISS OrangeWeb Filter je ochranná známka společnosti Internet Security Systems, Inc. (

3 Obsah 1 Rychlé nastavení Úvod Kerio WinRoute Firewall Konfliktní software Instalace Komponenty WinRoute WinRoute Engine Monitor Upgrade a deinstalace Průvodce počáteční konfigurací Správa WinRoute Administrační okno Nastavení pohledů Registrace produktu a licence Typy licencí a počet uživatelů Informace o licenci Registrace produktu z Administration Console Registrace produktu na WWW stránkách Vypršení licence nebo práva na aktualizaci Kontrola počtu uživatelů Nastavení rozhraní a sít ových služeb Rozhraní Záložní internetové připojení DNS forwarder DHCP server Proxy server HTTP cache Komunikační pravidla Průvodce komunikačními pravidly Jak komunikační pravidla fungují? Definice vlastních komunikačních pravidel Základní typy komunikačních pravidel

4 7 Omezování šířky pásma Jak funguje a jak lze využít omezování šířky pásma? Konfigurace omezování šířky pásma Detekce spojení přenášejících velký objem dat Ověřování uživatelů Ověřování uživatelů na firewallu Filtrování protokolů HTTP a FTP Pravidla pro URL Globální pravidla pro prvky WWW stránek Hodnocení obsahu WWW stránek (ISS OrangeWeb Filter) Filtrování WWW stránek dle výskytu slov Filtrování protokolu FTP Antivirová kontrola Podmínky a omezení antivirové kontroly Výběr a nastavení antivirových programů Antivirová kontrola protokolů HTTP a FTP Antivirová kontrola u WWW rozhraní Nastavení parametrů WWW rozhraní Přihlašovací a odhlašovací stránka Uživatelské preference Statistiky uživatele Zobrazení pravidel pro WWW stránky Ovládání vytáčených linek Správa HTTP cache Definice Skupiny IP adres Časové intervaly Služby Skupiny URL Uživatelské účty a skupiny Zobrazení a definice uživatelských účtů Lokální uživatelské účty Lokální databáze uživatelů: externí ověřování a import účtů Mapování Active Directory domén Skupiny uživatelů

5 14 Vzdálená správa a automatická aktualizace Nastavení vzdálené správy Automatická aktualizace produktu Doplňkové bezpečnostní funkce Detekce a blokování P2P sítí Volby pro zvýšení bezpečnosti Virtuální privátní sítě (VPN) pomocí protokolu IPSec Další nastavení Směrovací tabulka Vytáčení na žádost Universal Plug-and-Play (UPnP) Nastavení serveru odchozí pošty Stavové informace Počítače a uživatelé Zobrazení spojení Výstrahy Statistiky Nastavení statistik Statistika Prvních 20 uživatelů Statistiky uživatelů Statistiky rozhraní Záznamy Nastavení záznamů Kontextové menu pro záznamy Záznam Alert Záznam Config Záznam Connection Záznam Debug Záznam Dial Záznam Error Záznam Filter Záznam Http Záznam Security Záznam Sslvpn Záznam Warning Záznam Web

6 20 Kerio VPN Konfigurace VPN serveru Nastavení pro VPN klienty Propojení dvou privátních sítí přes Internet (VPN tunel) Výměna směrovacích informací Příklad konfigurace Kerio VPN: firma s pobočkou Složitější konfigurace Kerio VPN: firma s více pobočkami Kerio Clientless SSL-VPN Konfigurace SSL-VPN ve WinRoute Použití rozhraní SSL-VPN Řešení problémů Detekce nesprávné konfigurace výchozí brány Zálohování a přenos konfigurace Automatické ověřování uživatelů pomocí NTLM Vyřazení inspekčního modulu pro určitou službu Použití uživatelských účtů a skupin v komunikačních pravidlech FTP přes proxy server ve WinRoute Rozložení zátěže internetového připojení Základní informace a systémové požadavky Konfigurace sítě Konfigurace serverů v clusteru Technická podpora Informace pro technickou podporu Testování betaverzí Kontakty A Použité open-source knihovny Slovníček pojmů Rejstřík

7 Kapitola 1 Rychlé nastavení Tato kapitola obsahuje seznam kroků, které je nutno provést, aby mohl Kerio WinRoute Firewall (dále jen WinRoute ) okamžitě sloužit pro sdílení internetového připojení a ochranu vaší lokální sítě. Podrobný postup rychlé instalace a konfigurace naleznete v samostatném manuálu WinRoute Konfigurace krok za krokem. Nebudete-li si jisti některým nastavením WinRoute, jednoduše vyhledejte příslušnou kapitolu v tomto manuálu. Informace týkající se internetového připojení (IP adresa, výchozí brána, DNS server atd.) vám sdělí váš poskytovatel Internetu. Poznámka: V následujícím textu je termínem firewall WinRoute nainstalován (resp. kam má být nainstalován). označován počítač, kde je 1. Firewall musí mít alespoň dvě rozhraní jedno připojené do lokální sítě (např. sít ová karta Ethernet nebo Token Ring) a jedno připojené do Internetu (např. analogový modem, ISDN adaptér, sít ová karta nebo satelitní adaptér DirecWay). Na obou (resp. všech) rozhraních musí být správně nastaveny parametry TCP/IP. Před zahájením instalace WinRoute prověřte komunikaci s počítači v lokální síti a funkčnost internetového připojení. Tímto testem si ušetříte mnoho problémů při pozdějším ladění konfigurace a hledání chyb. 2. Spust te instalaci WinRoute. V průvodci počáteční konfigurací zadejte uživatelské jméno a heslo pro přístup ke správě (podrobnosti viz kapitoly 2.3 a 2.7). 3. Nastavte základní komunikační pravidla pomocí Průvodce komunikačními pravidly (viz kapitola 6.1). 4. Zapněte DHCP server a nastavte požadované rozsahy IP adres včetně parametrů (maska subsítě, výchozí brána, adresa DNS serveru, příp. jméno domény). Podrobnosti viz kapitola Zkontrolujte nastavení DNS forwarderu. Chcete-li prohledávat soubor hosts a/nebo tabulky DHCP serveru, nezapomeňte uvést lokální DNS doménu. Podrobnosti viz kapitola Nastavte mapování uživatelů z Active Directory domény, případně vytvořte nebo importujte lokální uživatelské účty a skupiny. Nastavte uživatelům požadovaná přístupová práva. Podrobnosti viz kapitola 13. 7

8 Kapitola 1 Rychlé nastavení 7. Definujte skupiny IP adres (kap. 12.1), časové intervaly (kap. 12.2) a skupiny URL (kap. 12.4), které použijete při definici pravidel (viz kap. 12.2). 8. Vytvořte pravidla pro URL (kap. 9.1) a nastavte modul ISS OrangeWeb Filter (kap. 9.3). Nastavte HTTP cache a automatickou konfiguraci prohlížečů (kap. 5.6). Definujte pravidla pro FTP (kap. 9.5). 9. Vyberte antivirový program a nastavte typy objektů, které mají být kontrolovány. Při použití integrované antivirus McAfee, zkontrolujte a případně upravte nastavení automatické aktualizace. Poznámka: Externí antivirový program musí být nainstalován dříve, než jej ve WinRoute zvolíte. 10. Nastavte parametry TCP/IP sít ového adaptéru každé klientské stanice v lokální síti jedním z následujících způsobů: Automatická konfigurace zapněte volbu Získávat IP adresu automaticky (Obtain an IP address automatically). Nenastavujte žádné další parametry. Ruční konfigurace zadejte IP adresu, masku subsítě, adresu výchozí brány, adresu DNS serveru a jméno lokální domény. Na každé stanici nastavte WWW prohlížeč jedním z těchto způsobů: Automatická konfigurace zaškrtněte volbu Automaticky zjišt ovat nastavení (Microsoft Internet Explorer) nebo zadejte URL pro automatickou konfiguraci (jiné typy prohlížečů). Podrobnosti naleznete v kapitole 5.6. Ruční konfigurace zvolte připojení lokální sítí, případně nastavte IP adresu a port proxy serveru (viz kapitola 5.5). 8

9 Kapitola 2 Úvod 2.1 Kerio WinRoute Firewall 6.2 WinRoute je komplexní nástroj pro připojení lokální sítě do Internetu a její ochranu proti průniku zvenčí. Je určen pro platformy Windows 2000, XP a Základní vlastnosti WinRoute Transparentní přístup do Internetu Díky technologii NAT (Network Address Translation překlad IP adres) je možné připojit lokální privátní sít do Internetu přes jedinou veřejnou IP adresu (statickou i dynamickou). Narozdíl od klasického proxy serveru budou mít všechny počítače plný přístup do Internetu a bude na nich možné provozovat většinu běžných sít ových aplikací, jako by se jednalo o veřejnou sít, která je součástí Internetu. Bezpečnost Integrovaný firewall ochrání celou lokální sít včetně počítače, na němž je nainstalován. Nezáleží na tom, zda je použita funkce NAT (překlad IP adres) nebo zda je WinRoute nasazen jako neutrální směrovač mezi dvěma sítěmi. WinRoute poskytuje ochranu srovnatelnou s mnohonásobně dražšími hardwarovými firewally. Řízení přístupu Veškerá bezpečnostní nastavení jsou ve WinRoute realizována prostřednictvím tzv. komunikačních pravidel. Ta umožňují nejen ochránit sít proti průniku zvenčí, ale také zpřístupnit služby běžící na serverech uvnitř chráněné lokální sítě (např. WWW server, poštovní server, FTP server atd.) z Internetu nebo naopak omezit přístup lokálních uživatelů k určitým službám v Internetu. Omezování rychlosti přenosu dat (Bandwidth Limiter) Typickým problémem sdíleného internetového připojení je situace, kdy jeden uživatel stahuje velký objem dat (instalační archiv, obraz disku, audio/video soubor apod.), čímž výrazně zpomalí přístup do Internetu ostatním uživatelům i serverovým službám. Modul Bandwidth Limiter ve WinRoute umožňuje vyhradit pro přenosy objemných dat zvolenou šířku pásma (tj. určitou část rychlosti internetového připojení), zatímco zbývající pásmo bude stále k dispozici pro ostatní služby. 9

10 Kapitola 2 Úvod Obsluha protokolů (inspekční moduly) Některé aplikace komunikují netriviálním způsobem např. vyžadují otevření dalšího spojení serverem zpět na klienta, používají nestandardní komunikační protokoly apod. Aby bylo možné za firewallem provozovat i takovéto aplikace, obsahuje WinRoute tzv. inspekční moduly, které rozpoznají příslušný aplikační protokol a dokáží dynamicky přizpůsobit chování firewallu (např. dočasné otevření spojení, které si aplikace vyžádala). Jako příklad uved me FTP v aktivním režimu, RealAudio nebo PPTP. Konfigurace sítě WinRoute obsahuje vestavěný DHCP server, který automaticky nastaví parametry TCP/IP na všech počítačích (pracovních stanicích) ve vaší lokální síti. Veškeré parametry stačí nastavit centrálně na serveru. Tím se jednak ušetří čas potřebný ke zprovoznění sítě a jednak sníží riziko možných chyb. Ke snadné konfiguraci DNS a zrychlení odpovědí na DNS dotazy slouží modul DNS forwarder. Jedná se o jednoduchý DNS server (caching nameserver), který předává dotazy jinému DNS serveru. Získané odpovědi ukládá do své vyrovnávací paměti (cache) odezvy na opakované dotazy jsou tak mnohonásobně rychlejší. Ve spolupráci s DHCP serverem a systémovým souborem hosts může zároveň fungovat jako dynamický DNS server pro lokální doménu. Vzdálená správa Veškerá nastavení WinRoute se provádějí v odděleném programu Kerio Administration Console (univerzální administrační konzola pro serverové produkty firmy Kerio Technologies). Tento program může být provozován jak přímo na počítači, kde je WinRoute nainstalován, tak na libovolném jiném počítači ve vaší lokální síti či v Internetu. Komunikace mezi WinRoute a administračním programem je šifrována a nemůže tedy dojít k jejímu odposlechu a zneužití. Různé operační systémy v lokální síti WinRoute pracuje s protokoly standardu TCP/IP a z pohledu počítačů v lokální síti se chová jako standardní směrovač. Na tyto počítače není třeba instalovat žádný speciální software, a může zde být provozován libovolný operační systém podporující TCP/IP (např. Windows, Unix/Linux, Mac OS atd.). Poznámka: WinRoute pracuje pouze s protokolovou sadou TCP/IP. Na funkci jiných protokolů (např. IPX/SPX, NetBEUI, AppleTalk apod.) nemá žádný vliv. Doplňkové funkce Filtrování protokolů HTTP a FTP WinRoute umožňuje sledovat obsah komunikace protokoly HTTP a FTP a blokovat objekty (stránky, přesměrování, některé prvky HTML atd.), které nevyhovují zada- 10

11 2.1 Kerio WinRoute Firewall 6.2 ným kritériím. Tato nastavení mohou být globální nebo specifická pro konkrétní uživatele. Antivirová kontrola WinRoute může provádět antivirovou kontrolu přenášených souborů, a to bud vestavěným antivirem McAfee nebo externím antivirovým programem (např. NOD32, AVG atd.). Antivirovou kontrolu lze aplikovat na protokoly HTTP, FTP, SMTP a POP3. Transparentní podpora Active Directory Při nasazení v síti s doménou Active Directory lze ve WinRoute použít přímo uživatelské účty z Active Directory, není nutné vytvářet lokální účty ani importovat účty z domény. Tato možnost značně zjednodušuje správu účtů zejména při velkém počtu uživatelů. Zasílání výstrah em WinRoute může zasílat em výstrahy na určité události. Tato funkce zjednodušuje správu firewallu administrátor se nemusí k WinRoute pravidelně přihlašovat a kontrolovat jeho stav. Všechny odeslané výstrahy se zároveň ukládají do speciálního záznamu. Uživatelské kvóty Každému uživateli lze nastavit denní a měsíční limit objemu přenesených dat, a to pro download, upload nebo oba směry. Při překročení některé kvóty bude uživateli na určitou dobu zablokován přístup do Internetu. Volitelně lze uživateli také zaslat s výstrahou. Blokování P2P sítí WinRoute dokáže detekovat a blokovat používání tzv. Peer-to-Peer sítí (sítě pro sdílení souborů mezi uživateli např. Kazaa, DirectConnect apod.). Statistiky V administračním programu WinRoute lze sledovat podrobné statistiky rozhraní firewallu (aktuální přenosové rychlosti, objem přenesených dat za určitá období) a jednotlivých uživatelů (objem přenesených dat, využívání služeb, kategorie navštívených WWW stránek atd.). Proprietární VPN server a klient WinRoute obsahuje proprietární VPN řešení, které funguje v režimech server-toserver a client-to-server. Toto VPN řešení je navrženo tak, aby fungovalo s překladem IP adres (i vícenásobným) na kterékoliv straně. Pro vytváření VPN typu clientto-server (připojování vzdálených klientů do lokální sítě) je společně s WinRoute dodáván také klientský software Kerio VPN Client. 11

12 Kapitola 2 Úvod Clientless SSL-VPN ( VPN bez klienta ) Alternativou k VPN řešení vyžadujícímu speciální aplikaci na klientské straně je přístup do vzdálené privátní sítě prostřednictvím běžného WWW prohlížeče. Clientless SSL-VPN umožňuje procházet počítače a sdílené prostředky ve vzdálené síti a stahovat nebo ukládat soubory. Komunikace je zabezpečena standardním protokolem SSL (HTTPS). 2.2 Konfliktní software Počítač, na němž je WinRoute nainstalován, může být rovněž využíván jako pracovní stanice (to ale není příliš doporučováno činnost uživatele může mít negativní vliv na chod operačního systému a tím i WinRoute). WinRoute může být provozován společně s většinou běžných aplikací. Existují však určité aplikace, které mohou vykazovat kolize, a neměly by proto být na tomtéž počítači provozovány. Kolize nízkoúrovňových ovladačů WinRoute vykazuje kolize s aplikacemi, jejichž nízkoúrovňové ovladače používají stejnou nebo podobnou technologii, což jsou zejména: Aplikace pro sdílení internetového připojení např. Microsoft Proxy Server a Microsoft Proxy Client apod. Sít ové firewally např. Microsoft ISA Server, CheckPoint Firewall-1, WinProxy firmy Ositis, Sygate Office Network a Sygate Home Network apod. Osobní firewally např. Kerio Personal Firewall, Zone Alarm, Sygate Personal Firewall, Norton Personal Firewall apod. Software pro vytváření virtuálních privátních sítí (VPN) např. firem CheckPoint, Cisco Systems, Nortel apod. Těchto aplikací existuje celá řada a vyznačují se velmi specifickými vlastnostmi, které se liší u jednotlivých výrobců. Pokud to okolnosti dovolují, doporučujeme využít VPN řešení obsažené ve WinRoute (podrobnosti viz kapitola 20). V opačném případě doporučujeme otestovat konkrétní VPN server či VPN klienta se zkušební verzí WinRoute a případně kontaktovat technickou podporu firmy Kerio Technologies (viz kapitola 24). Poznámka: Implementace VPN obsažená v operačním systému Windows (založená na protokolu PPTP) je ve WinRoute podporována. Kolize portů Na počítači, kde je WinRoute nainstalován, nemohou být provozovány aplikace, které využívají tytéž porty (nebo je třeba konfiguraci portů změnit). Pokud jsou zapnuty všechny služby, které WinRoute nabízí, pak WinRoute využívá tyto porty: 12

13 2.2 Konfliktní software 53/UDP DNS forwarder 67/UDP DHCP server 1900/UDP služba SSDP Discovery 2869/TCP služba UPnP Host Služby SSDP Discovery a UPnP Host jsou součásti podpory protokolu UPnP (viz kapitola 16.3) /TCP+UDP komunikace mezi programem Kerio Administration Console a WinRoute Firewall Engine. Tuto službu jako jedinou nelze vypnout. Následující služby používají uvedené porty ve výchozí konfiguraci. Porty těchto služeb lze změnit. 443/TCP server rozhraní SSL-VPN (viz kapitola 21) 3128/TCP HTTP proxy server (viz kapitola 5.5) 4080/TCP WWW administrační rozhraní (viz kapitola 11) 4081/TCP zabezpečená (SSL) verze WWW administračního rozhraní (viz kapitola 11) 4090/TCP+UDP proprietární VPN server (podrobnosti viz kapitola 20) Antivirové programy Je-li na počítači s WinRoute nainstalován antivirový program, který provádí průběžnou automatickou kontrolu souborů na disku, je třeba z kontroly vyloučit adresář HTTP cache (viz kapitola 5.6, standardně podadresář cache adresáře, kde je WinRoute nainstalován) a podadresář tmp (používá se pro antivirovou kontrolu HTTP a FTP objektů). Jestliže je antivirová kontrola spouštěna pouze ručně, nemusí být tyto adresáře z kontroly vyloučeny pak je ale nutné před spuštěním antivirové kontroly zastavit WinRoute Firewall Engine (což nemusí být vždy vhodné). Poznámka: Pokud WinRoute využívá antivirový program pro kontrolu objektů stahovaných protokoly HTTP a FTP (viz kapitola 10.3), pak vyloučení adresáře cache z kontroly souborů na disku nepředstavuje žádnou hrozbu soubory uložené v tomto adresáři jsou již antivirovým programem zkontrolovány. Poznámka: WinRoute dokáže automaticky zastavit systémovou službu Windows Firewall / Sdílení připojení k Internetu, proto ji zde neuvádíme jako kolizní. Podrobnosti viz kapitola

14 Kapitola 2 Úvod 2.3 Instalace Systémové požadavky Minimální hardwarová konfigurace počítače, na který má být WinRoute nainstalován: CPU Intel Pentium II nebo kompatibilní; 300 MHz 128 MB operační paměti RAM Dvě sít ová rozhraní (včetně vytáčených) 50 MB diskového prostoru pro instalaci Diskový prostor pro logy (dle intenzity provozu a zvolené úrovně logování) Z důvodu bezpečnosti nainstalovaného produktu (zejména jeho konfiguračních souborů) doporučujeme použít souborový systém NTFS Instalaci je možné provést na tyto operační systémy: Windows 2000 Windows XP (pouze 32-bitová edice) Windows Server 2003 (pouze 32-bitová edice) Poznámka: Ve všech podporovaných operačních systémech musí být nainstalována sít ová komponenta Klient sítě Microsoft (Client for Microsoft Networks), jinak nebude možné provozovat WinRoute jako službu a nebude fungovat NTLM ověřování uživatelů. Ve standardních instalacích všech výše uvedených systémů je tato komponenta obsažena. Kroky před spuštěním instalace WinRoute by měl být nainstalován na počítač, který tvoří bránu mezi lokální sítí a Internetem. Tento počítač musí obsahovat alespoň jedno rozhraní připojené do lokální sítě (Ethernet, TokenRing apod.) a rozhraní do Internetu. Internetovým rozhraním může být bud sít ový adaptér (Ethernet, WaveLAN atd.) nebo modem (analogový, ISDN apod.). Před zahájením instalace WinRoute doporučujeme prověřit následující: Správné nastavení systémového času (nutné pro kontrolu aktualizací operačního systému, antivirového programu atd.) Instalaci všech nejnovějších (zejména bezpečnostních) aktualizací operačního systému 14

15 2.3 Instalace Nastavení parametrů TCP/IP na všech aktivních sít ových adaptérech Funkčnost všech sít ových připojení jak do lokální sítě, tak do Internetu (vhodným nástrojem je např. příkaz ping, který zjišt uje dobu odezvy počítače zadaného jménem nebo IP adresou). Provedení těchto kroků vám ušetří mnoho komplikací při pozdějším odstraňování případných problémů. Poznámka: Všechny podporované operační systémy obsahují ve standardní instalaci všechny komponenty, které WinRoute pro svoji činnost vyžaduje. Postup instalace a počáteční konfigurace Po spuštění instalačního programu (např. kerio-kwf win.exe) se zobrazí průvodce pro nastavení základních parametrů firewallu. Prvním krokem je výběr typu instalace Typical (plná), Compact (minimální, tj. bez nápovědy) nebo Custom (vlastní). Instalace typu Custom umožňuje výběr volitelných komponent programu: Obrázek 2.1 Instalace typu Custom výběr volitelných komponent 15

16 Kapitola 2 Úvod WinRoute Firewall Engine vlastní výkonné jádro aplikace, WinRoute Engine Monitor utilita pro ovládání WinRoute Firewall Engine a sledování jeho stavu (ikonka na liště), VPN Support proprietární VPN řešení firmy Kerio Technologies, Administration Console program Kerio Administration Console (univerzální konzola pro správu serverových aplikací firmy Kerio Technologies), Help Files soubory nápovědy (tato příručka ve formátu HTML Help). Podrobnosti o souborech nápovědy viz samostatný manuál Kerio Administration Console Nápověda. Podrobný popis komponent WinRoute naleznete v kapitole 2.4. Proprietární VPN řešení je detailně popsáno v kapitole 20. Poznámka: Je-li zvolen typ instalace Custom, pak se instalační program chová takto: všechny označené komponenty se instalují nebo aktualizují, všechny neoznačené komponenty se neinstalují nebo odstraní. Při instalaci nové verze WinRoute přes stávající (upgrade) je tedy třeba označit všechny komponenty, které mají zůstat zachovány. Po výběru volitelných komponent následuje vlastní instalace (tj. zkopírování souborů na pevný disk a nezbytná systémová nastavení). Poté je automaticky spuštěn průvodce nastavením základních parametrů WinRoute (viz kapitola 2.7). Po instalaci je třeba počítač restartovat (aby mohl být zaveden nízkoúrovňový ovladač WinRoute). Po novém startu systému se automaticky spustí WinRoute Firewall Engine, tj. vlastní výkonné jádro programu (běží jako systémová služba), a po přihlášení uživatele také WinRoute Engine Monitor. Ochrana nainstalovaného produktu Pro zajištění plné bezpečnosti firewallu je důležité, aby neoprávněné osoby neměly žádný přístup k souborům aplikace (zejména ke konfiguračním souborům). Je-li použit souborový systém NTFS, pak WinRoute při každém svém startu obnovuje nastavení přístupových práv k adresáři, ve kterém je nainstalován (včetně všech podadresářů): pouze členům skupiny Administrators a lokálnímu systémovému účtu (SYSTEM) je povolen přístup pro čtení i zápis, ostatní uživatelé nemají žádný přístup. 16

17 2.3 Instalace Upozornění: Při použití souborového systému FAT32 nelze soubory WinRoute výše popsaným způsobem zabezpečit. Z tohoto důvodu doporučujeme instalovat WinRoute výhradně na disk se souborovým systémem NTFS. Kolizní programy a systémové služby Instalační program WinRoute detekuje programy a systémové služby, které by mohly způsobovat kolize se službou WinRoute Firewall Engine. 1. Kerio WinRoute Pro a Kerio WinRoute Lite WinRoute již není kompatibilní s verzemi řady 4.x. Je-li při instalaci detekována WinRoute Pro 4.x nebo WinRoute Lite 4.x, zobrazí se následující chybové hlášení. Obrázek 2.2 Detekce WinRoute Pro 4.x při instalaci Po stisknutí tlačítka OK se instalační program ukončí. Pak je třeba WinRoute Pro/Lite odinstalovat (volbou Přidat nebo odebrat programy v Ovládacích panelech), restartovat počítač a spustit instalační program znovu. Poznámka: Má-li být převzata konfigurace WinRoute Pro (např. při velkém počtu interních uživatelských účtů), pak je třeba namísto odinstalování WinRoute Pro provést nejprve upgrade na Kerio WinRoute Firewall 5.x a následně na Kerio WinRoute Firewall 6.x (podrobnosti viz kapitola 2.6). 2. Systémové komponenty Windows Firewall 1 a Sdílení připojení k Internetu Tyto komponenty zajišt ují podobné nízkoúrovňové funkce jako WinRoute. Pokud by byly spuštěny společně s WinRoute, nefungovala by sít ová komunikace správně a WinRoute by mohl být nestabilní. Z tohoto důvodu instalační program WinRoute detekuje systémovou službu Windows Firewall / Sdílení připojení k Internetu (Windows Firewall / Internet Connection Sharing) 2, a pokud je tato služba spuštěna, nabídne její zastavení a zakázání. 1 2 V operačním systému Windows XP Service Pack 1 a starších verzích má integrovaný firewall název Brána Firewall připojení k Internetu (Internet Connection Firewall). V uvedených starších verzích operačního systému Windows má služba název Součást ICF (Brána Firewall připojení k Internetu) / součást ICS (Sdílení připojení k Internetu); v angličtině Internet Connection Firewall / Internet Connection Sharing. 17

18 Kapitola 2 Úvod Obrázek 2.3 Detekce systémové služby Windows Firewall / Sdílení připojení k Internetu Stisknutím tlačítka Ano (Yes) bude služba Windows Firewall / Sdílení připojení k Internetu zastavena a zakázáno její automatické spouštění při startu systému Windows. Tlačítko Ne (No) ponechá stav a parametry této služby beze změn. Upozornění: Pro správnou funkci WinRoute musí být služba Windows Firewall / Sdílení připojení k Internetu zastavena a zakázána! Instalační program zobrazuje tento dotaz pouze z bezpečnostních důvodů pokud např. nechcete restartovat počítač ihned po instalaci, pak by automatické zastavení služby představovalo bezpečnostní riziko (počítač by až do restartu nebyl chráněn). 3. Hostitel zařízení UPnP (Universal Plug and Play Device Host) a Služba rozpoznávání pomocí protokolu SSDP (SSDP Discovery Service) Uvedené služby tvoří podporu protokolu UPnP (Universal Plug and Play) v operačních systémech Windows XP a Server Tyto služby však vykazují kolize s podporou protokolu UPnP ve WinRoute (viz kapitola 16.3), a proto jsou při instalaci WinRoute automaticky vypnuty, aby nedocházelo ke kolizím portů. Poznámky: 1. WinRoute při každém svém startu automaticky detekuje, zda je spuštěna systémová služba Windows Firewall / Sdílení připojení k Internetu (Windows Firewall / Internet Connection Sharing), a pokud ano, automaticky ji zastaví a zapíše informaci do záznamu warning. Tím je ošetřen případ, že tato služba bude povolena v době, kdy je již WinRoute nainstalován. 2. V operačním systému Windows XP Service Pack 2 se WinRoute také automaticky registruje v Centru zabezpečení (Security Center). To znamená, že Centrum zabezpečení bude vždy správně indikovat stav firewallu a nebude zobrazováno varování, že systém není chráněn. 18

19 2.4 Komponenty WinRoute 2.4 Komponenty WinRoute WinRoute sestává z následujících tří částí: WinRoute Firewall Engine Vlastní výkonný program, který realizuje všechny služby a funkce. Běží jako služba operačního systému (služba má název Kerio WinRoute Firewall a ve výchozím nastavení je spouštěna automaticky pod systémovým účtem). WinRoute Engine Monitor Slouží k monitorování a změně stavu Engine (zastaven / spuštěn), nastavení spouštěcích preferencí (tj. zda se má Engine a/nebo Monitor sám spouštět automaticky při startu systému) a snadnému spuštění administrační konzole. Podrobnosti naleznete v kapitole 2.5. Poznámka: WinRoute Firewall Engine je zcela nezávislý na aplikaci WinRoute Engine Monitor. Engine tedy může běžet, i když se na liště nezobrazuje ikona. Kerio Administration Console Univerzální program pro lokální či vzdálenou správu serverových produktů firmy Kerio Technologies. Pro připojení k určité aplikaci je třeba modul obsahující specifické rozhraní pro tuto aplikaci. Při instalaci WinRoute je Kerio Administration Console nainstalována s příslušným modulem. Použití programu Kerio Administration Console je podrobně popsáno v samostatném dokumentu Kerio Administration Console Nápověda. 2.5 WinRoute Engine Monitor WinRoute Engine Monitor je utilita, která slouží k ovládání a monitorování stavu WinRoute Firewall Engine. Tato komponenta se zobrazuje jako ikona na nástrojové liště. Obrázek 2.4 Ikona utility WinRoute Engine Monitor v oznamovací oblasti nástrojové lišty Je-li WinRoute Firewall Engine zastaven, objeví se přes ikonu červený kruh s bílým křížkem. Spouštění či zastavování WinRoute Firewall Engine může za různých okolností trvat až několik sekund. Na tuto dobu ikona zešedne a je neaktivní, tzn. nereaguje na myš. Dvojitým kliknutím levým tlačítkem na tuto ikonu lze spustit program Kerio Administration Console (viz dále). Po kliknutí pravým tlačítkem se zobrazí menu s následujícími funkcemi: 19

20 Kapitola 2 Úvod Obrázek 2.5 Menu utility WinRoute Engine Monitor Startup Preferences Volby pro automatické spouštění WinRoute Firewall Engine a WinRoute Engine Monitoru při startu systému. Výchozí nastavení (po instalaci) je obě volby zapnuty. Administration Spuštění programu Kerio Administration Console (odpovídá dvojitému kliknutí levým tlačítkem myši na ikonu WinRoute Engine Monitoru) Start / Stop WinRoute Firewall Engine Spuštění nebo zastavení WinRoute Firewall Engine (text se mění v závislosti na jeho stavu). Exit Engine Monitor Ukončení programu WinRoute Engine Monitor. Tato volba nezastavuje WinRoute Firewall Engine, na což je uživatel upozorněn varovným hlášením. Poznámka: Pokud má licence WinRoute omezenou platnost (např. neregistrovaná zkušební verze), pak se 7 dní před vypršením licence automaticky zobrazí informace o tom, že se blíží konec její platnosti. Zobrazení této informace se pak periodicky opakuje až do okamžiku, kdy licence vyprší. 2.6 Upgrade a deinstalace Tato kapitola popisuje upgrade WinRoute v rámci verzí 5.x a 6.x (např. z verze na verzi nebo z verze na verzi 6.2.1). Přímý upgrade ze starších verzí (Kerio WinRoute Pro) již není možný. Chceme-li provést upgrade (tj. instalovat novější verzi získanou např. z WWW stránek výrobce), stačí jednoduše spustit instalaci nové verze. Před instalací je třeba zavřít všechna okna programu Kerio Administration Console. Komponenty WinRoute Firewall Engine a WinRoute Engine Monitor dokáže instalační program ukončit sám. 20

21 2.6 Upgrade a deinstalace Při instalaci bude rozpoznán adresář, kde je stávající verze nainstalována, a nahrazeny příslušné soubory novými. Přitom zůstane zachována licence, veškerá nastavení i soubory záznamů. Deinstalace Pro deinstalaci je vhodné zastavit všechny tři komponenty WinRoute. Program lze deinstalovat průvodcem Přidat nebo odebrat programy v Ovládacích panelech. Při deinstalaci mohou být volitelně smazány také všechny soubory v instalačním adresáři WinRoute (typicky C:\Program Files\Kerio\WinRoute Firewall). Při deinstalaci instalační program WinRoute automaticky obnoví původní stav systémových služeb Hostitel zařízení UPnP (Universal Plug and Play Device Host) a Služba rozpoznávání pomocí protokolu SSDP (SSDP Discovery Service). Dále zobrazí dotaz, zda má být aktivován integrovaný Windows Firewall 1. Obrázek 2.6 Dotaz na aktivaci Windows Firewallu při deinstalaci WinRoute Pokud je počítač stále přímo připojen k Internetu, pak důrazně doporučujeme integrovaný firewall aktivovat (v opačném případě vznikne značné bezpečnostní riziko). Přechod z WinRoute Pro 4.x Chceme-li přejít z WinRoute Pro 4.x na Kerio WinRoute Firewall 6.x a převzít přitom stávající nastavení, pak lze provést upgrade ve dvou krocích: 1. Upgrade z WinRoute Pro 4.x na Kerio WinRoute Firewall 5.x. Verze 5.x obsahuje nástroj pro počáteční konfiguraci, který dokáže načíst a převést konfiguraci WinRoute Pro 4.x. 2. Upgrade verze 5.x na verzi 6.x (viz výše). Poznámka: Pokud to nevyžadují zvláštní okolnosti (např. velký počet interních uživatelských účtů), nedoporučujeme provádět upgrade WinRoute tímto způsobem. Konfigurační parametry WinRoute Pro 4.x jsou značně odlišné a lze převzít jen některé z nich. 21

22 Kapitola 2 Úvod Následná revize nastavení a odstraňování případných chyb je zpravidla náročnější než konfigurace WinRoute v případě nové instalace. Automatická kontrola nových verzí WinRoute umožňuje automaticky kontrolovat, zda se na serveru firmy Kerio Technologies nachází novější verze, než je aktuálně nainstalována. Je-li nalezena nová verze, nabídne WinRoute její stažení a instalaci. Podrobné informace naleznete v kapitole Průvodce počáteční konfigurací Instalační program automaticky spouští průvodce, který vám pomůže nastavit základní parametry WinRoute. Poznámka: Konfigurační průvodce je k dispozici pouze v anglickém jazyce. Nastavení administrátorského jména a hesla Velmi důležitým krokem pro zajištění bezpečnosti vašeho firewallu je nastavení administrátorského jména a hesla. Ponecháte-li prázdné heslo, pak se vystavujete riziku, že se ke konfiguraci WinRoute přihlásí nepovolaná osoba. Obrázek 2.7 Počáteční konfigurace nastavení uživatelského jména a hesla pro administraci 22

23 2.7 Průvodce počáteční konfigurací V dialogu pro nastavení účtu je třeba zadat heslo (Password) a zopakovat jej pro kontrolu (Confirm Password). V položce Username můžete změnit jméno administrátora (standardně Admin). Poznámka: Pokud je Kerio WinRoute Firewall nainstalován jako upgrade WinRoute Pro 4.x, pak je tento krok přeskočen administrátorský účet bude rovněž importován z WinRoute Pro 4.x (viz dále). Vzdálený přístup Bezprostředně po prvním spuštění WinRoute Firewall Engine dojde k blokování veškeré sít ové komunikace (požadovaná komunikace pak musí být povolena vytvořením pravidel viz kapitola 6). Je-li WinRoute instalován vzdáleně (např. pomocí terminálového přístupu), pak se v tomto okamžiku přeruší také komunikace se vzdáleným klientem (a konfigurace WinRoute musí být provedena lokálně). Pro umožnění vzdálené instalace a správy lze ve druhém kroku průvodce počáteční konfigurací zadat IP adresu počítače, odkud bude po spuštění WinRoute Firewall Engine možné pracovat s firewallem vzdáleně (např. pomocí terminálových služeb). WinRoute povolí veškerou komunikaci mezi firewallem a vzdáleným počítačem. Poznámka: Pokud WinRoute instalujete lokálně, pak tento krok přeskočte. Povolení plného přístupu ze vzdáleného počítače může představovat bezpečnostní hrozbu. Enable remote access Tato volba povoluje plný přístup k počítači s WinRoute z jedné vybrané IP adresy. Remote IP address IP adresa počítače, odkud se vzdáleně připojujete (např. terminálovým klientem). Do této položky lze uvést pouze jeden počítač, který musí být zadán IP adresou (nikoliv DNS jménem). Upozornění: Po nastavení WinRoute průvodcem komunikačními pravidly (viz kapitola 6.1) se pravidlo pro povolení vzdáleného přístupu zruší. 23

24 Kapitola 2 Úvod Obrázek 2.8 Počáteční konfigurace povolení vzdálené správy Restart počítače Po dokončení instalace je třeba počítač restartovat, aby mohl být zaveden nízkoúrovňový ovladač WinRoute (wrdrv.sys). Po novém startu operačního systému bude automaticky spuštěna služba WinRoute Firewall Engine a program WinRoute Engine Monitor. Při prvním startu WinRoute Firewall Engine (bezprostředně po instalaci) se zobrazí dotaz, zda má být spuštěn také program Kerio Administration Console. Po instalaci je totiž nutné provést alespoň základní konfiguraci (viz kapitola 6.1), jinak bude blokována veškerá sít ová komunikace počítače, na kterém je WinRoute nainstalován. Obrázek 2.9 Dotaz na spuštění Administration Console po restartu počítače 24

25 Průvodce počáteční konfigurací

26 Kapitola 3 Správa WinRoute Ke správě WinRoute slouží samostatný program Kerio Administration Console (univerzální aplikace pro správu serverových produktů firmy Kerio Technologies; dále jen Administration Console ). Administration Console umožňuje lokální správu (tj. z téhož počítače, na kterém WinRoute Firewall Engine běží) i vzdálenou správu (z libovolného jiného počítače). Komunikace mezi Administration Console a WinRoute Firewall Engine je šifrována, což zabraňuje jejímu odposlechu a zneužití. Administration Console se instaluje společně s WinRoute (viz kapitoly 2.3 a 2.4). Její použití je podrobně popsáno v samostatném manuálu Administration Console Nápověda. Další kapitoly tohoto manuálu již popisují jednotlivé sekce administračního okna WinRoute, které se zobrazí po úspěšném přihlášení k WinRoute Firewall Engine. Poznámky: 1. Administration Console pro WinRoute je k dispozici v anglickém, českém, slovenském a španělském jazyce. 2. Při prvním přihlášení po instalaci WinRoute se nejprve automaticky spustí průvodce vytvořením komunikačních pravidel, který slouží k počáteční konfiguraci WinRoute. Podrobný popis tohoto průvodce najdete v kapitole Administrační okno Po úspěšném přihlášení programem Administration Console k WinRoute Firewall Engine se zobrazí hlavní okno modulu pro správu WinRoute (dále jen administrační okno ). Toto okno je rozděleno na dvě části: Levý sloupec obsahuje seznam sekcí administračního okna v podobě stromu. Pro větší přehlednost lze jednotlivé části stromu skrývat a rozbalovat. Administration Console si při svém ukončení zapamatuje aktuální nastavení stromu a při dalším přihlášení jej zobrazí ve stejné podobě. Pravá část okna zobrazuje obsah sekce zvolené v levém sloupci (případně seznam sekcí ve zvolené skupině). 26

27 3.1 Administrační okno Obrázek 3.1 Hlavní okno Administration Console pro WinRoute Hlavní menu administračního okna Hlavní menu obsahuje tyto funkce: Nabídka Soubor Obnovit připojení připojení k WinRoute Firewall Engine po výpadku spojení (např. z důvodu restartu Engine či sít ové chyby). Nové připojení otevření (resp. přepnutí do) hlavního okna Administration Console. V tomto okně se pak můžeme pomocí záložky nebo přihlašovacího dialogu připojit k požadovanému serveru. Tuto funkci lze využít, pokud chceme spravovat více serverových aplikací současně (např. WinRoute na více serverech). Podrobnosti viz manuál Administration Console Nápověda. Poznámka: Volba Připojit k novému serveru má zcela identický efekt jako spuštění Administration Console z nabídky Start. Konec ukončení správy (odhlášení od serveru a uzavření administračního okna). Stejného efektu dosáhneme uzavřením okna kliknutím na závěr (křížek) v pravém horním rohu nebo kombinací kláves Alt+F4. Nabídka Nápověda Příručka administrátora otevření příručky administrátora (tohoto manuálu) ve formátu HTML Help. Podrobnosti o nápovědách naleznete v manuálu Administration Console Nápověda. O aplikaci informace o verzi aplikace (v tomto případě administračního modulu pro WinRoute), odkaz na WWW stránku výrobce a další informace. 27

28 Kapitola 3 Správa WinRoute Stavový řádek Na dolním okraji administračního okna je umístěn stavový řádek, který zobrazuje tyto informace (v pořadí zleva doprava): Obrázek 3.2 Stavový řádek okna Administration Console Aktuální sekce administračního okna (vybraná v levém sloupci). Tato informace usnadňuje orientaci v administračním okně zejména v případech, kdy není vidět celý strom sekcí (např. při nižším rozlišení obrazovky). Jméno nebo IP adresa serveru a port serverové aplikace (WinRoute používá port 44333). Jméno uživatele přihlášeného ke správě. Aktuální stav Administration Console: Připraven (čekání na akci uživatele), Načítání (přenos dat ze serveru) nebo Ukládání (zápis provedených změn na server). Detekce výpadku připojení k WinRoute Firewall Engine Administration Console dokáže automaticky detekovat, že došlo k výpadku připojení. Výpadek je zpravidla detekován při pokusu o čtení nebo uložení dat z/na server (tj. při stisknutí tlačítka Použít nebo přepnutí do jiné sekce Administration Console). V takovém případě se automaticky zobrazí dialog pro obnovení připojení s příslušným chybovým hlášením. Obrázek 3.3 Detekce výpadku spojení s WinRoute Firewall Engine 28

29 3.2 Nastavení pohledů Po odstranění příčiny výpadku můžeme zkusit připojení obnovit. Pokud se připojení nepodaří obnovit, zobrazí se již pouze chybové hlášení. Pak můžeme zkusit připojení obnovit volbou Soubor Obnovit připojení z hlavního menu, případně okno uzavřít a připojit se znovu standardním způsobem. 3.2 Nastavení pohledů V mnoha sekcích Administration Console má zobrazení tvar tabulky, přičemž každý řádek obsahuje jeden záznam (např. údaje o jednom uživateli, jednom rozhraní apod.) a sloupce obsahují jednotlivé položky tohoto záznamu (např. jméno rozhraní, název adaptéru, hardwarovou adresu, IP adresu atd.). Správce WinRoute má možnost upravit si způsob zobrazení informací v jednotlivých sekcích dle vlastní potřeby či vkusu. V každé z výše popsaných sekcí se po stisknutí pravého tlačítka myši zobrazí kontextová nabídka obsahující volbu Nastavit sloupce. Tato volba otevírá dialog, v němž je možné nastavit, které sloupce mají být zobrazeny a které mají zůstat skryty. Obrázek 3.4 Výběr zobrazovaných sloupců v sekci Rozhraní Dialog obsahuje seznam všech sloupců dostupných v příslušném pohledu. Zaškrtávací pole (vlevo od názvu sloupce) zapíná/vypíná zobrazování tohoto sloupce. Tlačítko Zobrazit vše nastavuje zobrazování všech dostupných sloupců. Tlačítko Výchozí uvede nastavení sloupců do výchozího stavu (ve výchozím nastavení jsou zpravidla z důvodu přehlednosti zobrazeny pouze sloupce s nejdůležitějšími informacemi, zatímco sloupce s doplňujícími informacemi jsou skryty). Tlačítka se šipkami slouží k posunu vybraného sloupce v seznamu nahoru nebo dolů. Tím lze určit pořadí, v jakém mají být sloupce zobrazeny. 29

30 Kapitola 3 Správa WinRoute Pořadí sloupců lze také upravit v pohledu samotném: klikneme levým tlačítkem myši na název sloupce, podržíme jej a přesuneme na požadované místo. Poznámka: Šířku jednotlivých sloupců lze upravit posunutím dělicích čár mezi záhlavími sloupců. 30

31 Kapitola 4 Registrace produktu a licence Zakoupený produkt Kerio WinRoute Firewall je třeba zaregistrovat na WWW stránkách firmy Kerio Technologies ( Po úspěšné registraci bude vygenerován tzv. licenční klíč (soubor license.key), který je třeba importovat do WinRoute (viz kapitola 4.2). Pokud tak neučiníte, bude se WinRoute chovat jako plně funkční, ale časově omezená verze. Z výše uvedeného zároveň vyplývá, že rozdíl mezi zkušební verzí a plnou verzí WinRoute je pouze v tom, zda se do něj importuje licenční klíč či nikoliv. Každý zákazník má tak možnost si produkt ve třicetidenní lhůtě vyzkoušet v konkrétních podmínkách. Pokud si jej zakoupí, stačí pouze zaregistrovat nainstalovanou verzi se zakoupeným licenčním číslem (viz kapitola 4.3). Není tedy třeba WinRoute znovu instalovat a nastavovat. V případě, že třicetidenní zkušební lhůta již vypršela, WinRoute omezí rychlost veškeré sít ové komunikace počítače, na kterém je nainstalován, na 4 KB/s. Rovněž zablokuje směrování (tzn. tento počítač pak nemůže sloužit jako brána do Internetu). Po importu platného licenčního klíče je WinRoute opět funkční v plném rozsahu. Poznámka: Dojde-li ke ztrátě licenčního klíče (např. z důvodu havárie disku, nechtěným smazáním apod.), je možné znovu provést registraci na WWW stránkách firmy Kerio Technologies a znovu si jej stáhnout (při opakované registraci stačí zadat pouze prodejní číslo základního produktu). 4.1 Typy licencí a počet uživatelů Typy licencí (volitelné komponenty) WinRoute může obsahovat volitelné komponenty: antivirový program McAfee (viz kapitola 10) a modul pro hodnocení obsahu WWW stránek ISS OrangeWeb Filter (viz kapitola 9.3). Tyto komponenty jsou licencovány odděleně. Licenční klíč tedy obsahuje následující informace: Licence WinRoute Základní licence WinRoute. Její platnost určují dvě data: skončení práva na aktualizaci datum, do kdy je možné WinRoute bezplatně upgradovat na nejnovější verzi. Po tomto datu je WinRoute nadále funkční, ale 31

32 Kapitola 4 Registrace produktu a licence nelze jej aktualizovat. Právo na aktualizaci můžete prodloužit zakoupením tzv. předplatného. skončení funkčnosti produktu k tomuto datu přestává být WinRoute funkční a zablokuje veškerou TCP/IP komunikaci na počítači, kde je nainstalován. Pokud tato situace nastane, musíte importovat nový (platný) licenční klíč nebo WinRoute odinstalovat. Licence antivirového programu McAfee Tato licence je určena dvěma daty: skončení práva na aktualizaci (nezávislé na WinRoute) po tomto datu zůstává antivirus funkční, ale nelze aktualizovat virovou databázi ani antivirový program. Upozornění: Vzhledem ke stálému výskytu nových virů doporučujeme používat vždy nejnovější verzi virové databáze. skončení funkčnosti antivirového modulu po tomto datu se antivirový modul McAfee zablokuje a nelze jej nadále používat. Licence modulu ISS OrangeWeb Filter Modul ISS OrangeWeb Filter je dodáván jako služba. Licence je určena pouze datem skončení platnosti, po kterém přestane tento modul fungovat. Poznámka: Aktuální informace o jednotlivých licencích, možnostech prodloužení jejich platnosti atd. naleznete na WWW stránkách firmy Kerio Technologies ( Stanovení potřebného počtu uživatelů Součástí licenčního klíče pro WinRoute je informace o maximálním povoleném počtu uživatelů. Dle licenčních podmínek počet uživatelů znamená počet počítačů, které WinRoute chrání, tj. součet: všech počítačů v lokální síti (pracovních stanic i serverů), všech (potenciálních) VPN klientů připojujících se z Internetu do lokální sítě. Do celkového počtu uživatelů se nezahrnuje počítač, na kterém je WinRoute nainstalován. Upozornění: Při překročení maximálního povoleného počtu uživatelů bude WinRoute blokovat komunikaci některých počítačů! 32

33 4.2 Informace o licenci 4.2 Informace o licenci Informace o licenci lze zobrazit volbou Kerio WinRoute Firewall (první položka ve stromu v levé části okna Administration Console tato sekce se zobrazuje bezprostředně po přihlášení ke správě WinRoute). Obrázek 4.1 Úvodní stránka Administration Console s informacemi o licenci Produkt Název produktu (Kerio WinRoute Firewall). Copyright Informace o držiteli autorských práv. Domovská stránka Odkaz na domovskou stránku produktu Kerio WinRoute Firewall (informace o cenách, nových verzích atd.). Kliknutím na odkaz se domovská stránka otevře ve WWW prohlížeči, který je v operačním systému nastaven jako výchozí. Operační systém Název operačního systému, na kterém běží služba WinRoute Firewall Engine. 33

34 Kapitola 4 Registrace produktu a licence ID licence Licenční číslo nebo označení speciální licence. Právo na aktualizaci končí Datum skončení nároku na bezplatný upgrade produktu. Funkčnost produktu končí Datum skončení funkčnosti produktu (pouze u zkušební verze nebo speciálních licencí). Počet uživatelů Maximální počet počítačů (unikátních IP adres), které může WinRoute chránit (podrobnosti viz kapitola 4.6). Společnost Název společnosti (příp. osoby), na niž je produkt registrován. V závislosti na aktuální licenci se v dolní části obrázku zobrazují odkazy: 1. V případě neregistrované verze: Zaregistrovat se jako uživatel zkušební verze registrace zkušební verze produktu. Tato registrace je nepovinná a nezávazná. Registrací získá uživatel nárok na bezplatnou technickou podporu po dobu zkušebního období. Zaregistrovat produkt se zakoupeným licenčním číslem registrace zakoupeného produktu. Zakoupený produkt je nutno zaregistrovat, jinak se bude stále chovat jako zkušební verze! 2. V případě registrované verze: Aktualizovat registrační informace možnost úpravy údajů o firmě/osobě, na kterou je produkt registrován, nebo přidání licenčních čísel předplatného či addon licencí (zvýšení počtu uživatelů). Podrobnosti o registraci WinRoute z Administration Console naleznete v kapitole 4.4. Je-li aktivní automatická kontrola nových verzí (viz kapitola 14.2), pak se v případě zveřejnění nové verze zobrazí odkaz K dispozici je nová verze programu. Klikněte zde pro podrobnosti... Po kliknutí na tento odkaz se otevře dialog umožňující stažení nové verze a následné spuštění instalace (podrobnosti viz kapitola 14.2). Poznámka: Po kliknutí pravým tlačítkem myši na úvodní stránce Administration Console se zobrazí kontextové menu s těmito volbami: 34

35 4.3 Registrace produktu z Administration Console Obrázek 4.2 Kontextové menu úvodní stránky Administration Console Zkopírovat licenční číslo do schránky zkopírování čísla aktuální licence (položka ID licence) do schránky. Toto může být užitečné např. při objednávce upgrade nebo předplatného, kdy je třeba zadat číslo základní licence, nebo při zadávání požadavku na technickou podporu Kerio Technologies. Zaregistrovat zkušební verzi registrace zkušební verze produktu. Zaregistrovat produkt registrace produktu se zakoupeným licenčním číslem. Instalovat licenci import licenčního klíče (získaného při registraci produktu na WWW stránkách viz kapitola 4.4). 4.3 Registrace produktu z Administration Console Od verze je možné WinRoute zaregistrovat přímo z Administration Console. kliknutím na příslušný odkaz v úvodní obrazovce (viz kapitola 4.2). Registrace zkušební verze Registrací zkušební verze získá uživatel ovou a telefonickou technickou podporu zdarma po dobu zkušební periody. Zároveň společnost Kerio Technologies získává zpětnou vazbu od těchto uživatelů. Registrace zkušební verze je nepovinná, ale doporučená (přináší pouze výhody). Registrace nezavazuje uživatele ke koupi produktu. Kliknutím na odkaz Zaregistrovat se jako uživatel zkušební verze se spustí průvodce registrací. 1. V prvním kroku průvodce je třeba opsat bezpečnostní kód z obrázku do textového pole (ochrana proti zneužití registračního serveru). V bezpečnostním kódu se nerozlišují malá a velká písmena. 2. Ve druhém kroku je třeba vyplnit údaje o uživateli zkušební verze (osobě, firmě). Důležitý je také souhlas uživatele se Zásadami ochrany soukromí bez tohoto souhlasu nemohou být zadané údaje uloženy do databáze společnosti Kerio Technologies. 35

36 Kapitola 4 Registrace produktu a licence Do položky ová adresa je nutno uvést platnou ovou adresu, nejlépe přímo adresu osoby, která registraci provádí. Na tuto adresu bude po dokončení průvodce zaslána žádost o potvrzení registrace. Obrázek 4.3 Registrace zkušební verze bezpečnostní kód Obrázek 4.4 Registrace zkušební verze údaje o uživateli 36

37 4.3 Registrace produktu z Administration Console 3. Třetí krok průvodce obsahuje nepovinné doplňující otázky. Odpovědi na tyto otázky pomáhají společnosti Kerio Technologies v zacílení produktu na správnou skupinu zákazníků. Obrázek 4.5 Registrace zkušební verze doplňující otázky 4. Ve čtvrtém kroku se zobrazí shrnutí zadaných údajů. Je-li některý údaj nesprávný, lze se tlačítkem Zpět vrátit do příslušného kroku průvodce a opravit jej. 5. V posledním kroku průvodce se zobrazí příslušné Trial ID. Toto je jedinečný identifikátor registrované zkušební verze, kterým se registrovaný uživatel prokazuje v případě požadavku na technickou podporu. Na ovou adresu uvedenou ve druhém kroku průvodce se v tomto okamžiku odešle žádost o potvrzení registrace (v jazyce odpovídajícím jazyku Administration Console). Teprve po kliknutí na odkaz v této zprávě je registrace dokončena a příslušné Trial ID platné. Hlavním účelem tohoto potvrzení je ověření platnosti e- mailové adresy uvedené při registraci. 37

38 Kapitola 4 Registrace produktu a licence Obrázek 4.6 Registrace zkušební verze shrnutí Obrázek 4.7 Registrace zkušební verze Trial ID 38

39 4.3 Registrace produktu z Administration Console Registrace zakoupeného produktu Kliknutím na odkaz Zaregistrovat produkt se zakoupeným licenčním číslem se spustí průvodce registrací. 1. V prvním kroku průvodce je třeba zadat patnáctimístné licenční číslo základního produktu (získané při jeho zakoupení) a opsat bezpečnostní kód z obrázku do textového pole (ochrana proti zneužití registračního serveru). V licenčním čísle ani v bezpečnostním kódu se nerozlišují malá a velká písmena. Obrázek 4.8 Registrace zakoupeného produktu číslo základního produktu a bezpečnostní kód 2. Ve druhém kroku lze zadat případná licenční čísla add-on licencí (zvýšení počtu uživatelů), volitelných doplňků nebo předplatného. Zároveň zde budou zobrazena všechna taková licenční čísla, která byla k příslušnému základnímu produktu již dříve zaregistrována. Tlačítkem Přidat lze přidávat další zakoupená licenční čísla. Každé zadané číslo je ihned zkontrolováno přidat lze pouze platné licenční číslo. Nově zadaná licenční čísla lze v případě potřeby změnit nebo odebrat. Zaregistrovaná licenční čísla (z předchozích registrací) již odebrat nelze. 39

40 Kapitola 4 Registrace produktu a licence Obrázek 4.9 Registrace zakoupeného produktu licenční čísla doplňků, add-on licencí a předplatného 3. Ve třetím kroku je třeba vyplnit údaje o uživateli (osobě, firmě). Důležitý je také souhlas uživatele se Zásadami ochrany soukromí bez tohoto souhlasu nemohou být zadané údaje uloženy do databáze společnosti Kerio Technologies. Do položky ová adresa je nutno uvést platnou ovou adresu, nejlépe přímo adresu osoby, která registraci provádí. Na tuto adresu bude po dokončení průvodce zaslána žádost o potvrzení registrace. 4. Čtvrtý krok průvodce obsahuje nepovinné doplňující otázky. Odpovědi na tyto otázky pomáhají společnosti Kerio Technologies v zacílení produktu na správnou skupinu zákazníků. Tyto otázky se zobrazují pouze při prvotní registraci. Pokud byly již zodpovězeny, pak se tento krok průvodce nezobrazí (průvodce pak má pouze čtyři kroky). 40

41 4.3 Registrace produktu z Administration Console Obrázek 4.10 Registrace zakoupeného produktu údaje o uživateli Obrázek 4.11 Registrace zakoupeného produktu doplňující otázky 41

42 Kapitola 4 Registrace produktu a licence 5. V posledním kroku se zobrazí shrnutí zadaných údajů. Je-li některý údaj nesprávný, lze se tlačítkem Zpět vrátit do příslušného kroku průvodce a opravit jej. Obrázek 4.12 Registrace zakoupeného produktu shrnutí Po stisknutí tlačítka Dokončit se na základě zadaných údajů automaticky vygeneruje příslušný licenční klíč. Nová licence je ihned aktivní (není vyžadován žádný restart). Poznámka: Pokud je po dokončení průvodce hlášena chyba (např. z důvodu výpadku sítě apod.), stačí spustit průvodce znovu a zopakovat registrační proces. Aktualizace registračních údajů Je-li WinRoute již zaregistrován, pak se na úvodní stránce Administration Console zobrazuje odkaz Aktualizovat registrační informace. Kliknutím na tento odkaz se spustí výše popsaný průvodce registrací, ve kterém budou vyplněny údaje z předchozí registrace. Stejným způsobem jako při prvotní registraci lze přidávat další licenční čísla nebo aktualizovat údaje o uživateli. 42

43 4.4 Registrace produktu na WWW stránkách 4.4 Registrace produktu na WWW stránkách Pokud z nějakého důvodu nelze provést registraci WinRoute z Administration Console, pak je možné produkt zaregistrovat na WWW stránkách Kerio Technologies. Registrační formulář je umístěn pod odkazem Nakoupit Registrace licencí a je podobný průvodci registrací popsanému v kapitole 4.3. Po vyplnění registračního formuláře bude automaticky vygenerován soubor s příslušným licenčním klíčem. Licenční klíč lze nainstalovat dvěma způsoby: Volbou Instalovat licenci z kontextového menu úvodní stránky (viz obrázek 4.2). Tento odkaz zobrazí standardní systémový dialog pro otevření souboru. Je-li instalace licenčního klíče úspěšná, licence je ihned aktivní. Na úvodní stránce Administration Console se obrazí se informace o nové licenci. Tímto způsobem lze instalovat licenční klíč i vzdáleně (soubor s licenčním klíčem musí být uložen na disku počítače, ze kterého je vzdálená správa prováděna). Zkopírováním souboru s licenčním klíčem do příslušného adresáře. Licenční klíč je třeba uložit do podadresáře license instalačního adresáře WinRoute (typicky C:\Program Files\Kerio\WinRoute Firewall\license). Název souboru (license.key) musí zůstat zachován! Pro aktivaci licence je nutné restartovat (zastavit a znovu spustit) WinRoute Firewall Engine. Poznámka: Je-li to možné, doporučujeme registrovat WinRoute prostřednictvím Administration Console (není nutný restart WinRoute Firewall Engine). 4.5 Vypršení licence nebo práva na aktualizaci WinRoute automaticky upozorňuje správce na blížící se datum skončení platnosti licence WinRoute, antiviru McAfee nebo modulu ISS OrangeWeb Filter a/nebo skončení práva na aktualizaci (tzv. předplatného)winroute nebo antiviru McAfee. Hlavním účelem těchto upozornění je včas informovat správce tom, že je třeba prodloužit předplatné WinRoute nebo obnovit příslušnou licenci. Tato upozornění mají dvě podoby: Upozornění bublinovou zprávou (tyto zprávy zobrazuje komponenta WinRoute Engine Monitor), Upozornění informačním oknem po přihlášení do Administration Console (pouze na vypršení předplatného). 43

44 Kapitola 4 Registrace produktu a licence Poznámka: Správce WinRoute může rovněž nastavit zasílání výstrahy o vypršení licence nebo předplatného formou u nebo krátké textové zprávy na mobilní telefon (viz kapitola 17.3). Upozornění bublinovými zprávami Sedm dní před inkriminovaným datem začne utilita WinRoute Engine Monitor periodicky (několikrát denně) zobrazovat informaci o tom, kolik dní zbývá do vypršení licence nebo předplatného. Obrázek 4.13 Upozornění o vypršení licence a/nebo práva na aktualizaci Tato informace se zobrazuje až do chvíle, kdy přestane být WinRoute nebo některá z jeho komponent funkční, případně kdy vyprší předplatné WinRoute nebo antiviru McAfee. Informace se rovněž přestane zobrazovat bezprostředně po registraci předplatného nebo licence příslušné komponenty (podrobnosti viz kapitola 4.3). Upozornění v Administration Console Počínaje 30. dnem před vypršením předplatného se po každém přihlášení zobrazí varování o zbývajícím počtu dnů do vypršení, případně že předplatné již vypršelo. Součástí tohoto upozornění je odkaz na WWW stránky společnosti Kerio Technologies, kde lze získat bližší informace o předplatném a objednat předplatné na další období. Upozornění se přestane zobrazovat po registraci licenčního čísla nového předplatného (viz kapitola 4.3). 44

45 4.6 Kontrola počtu uživatelů Obrázek 4.14 Upozornění na blížící se vypršení předplatného Obrázek 4.15 Upozornění, že předplatné již vypršelo 4.6 Kontrola počtu uživatelů Tato kapitola podrobně popisuje způsob, jakým WinRoute kontroluje, zda nedošlo k překročení počtu uživatelů povoleného licencí. Licence WinRoute neomezuje počet uživatelských účtů. Skutečný počet vytvořených účtů neovlivňuje počet využitých licencí. Upozornění: Následující popis slouží pouze jako technická informace, kterou lze použít např. při řešení problémů. Při určování potřebného počtu uživatelů (pro nákup licence) je nutné respektovat licenční podmínky viz kapitola 4.1! Kontrola využití licence probíhá takto: 45

46 Kapitola 4 Registrace produktu a licence Start WinRoute Při startu WinRoute obsahuje tabulka klientů pouze firewall. Počet využitých licencí je roven nule. Poznámka: Tabulka klientů se zobrazuje v Administration Console v sekci Počítače/Uživatelé viz kapitola Čerpání licencí Při zachycení komunikace jakéhokoliv klienta WinRoute zkontroluje, zda pro jeho IP adresu již existuje záznam v tabulce klientů. Pokud ne, přidá do tabulky nový záznam a zvýší počet využitých licencí o 1. Za klienty jsou považovány: 1. Všechny počítače, ze kterých jsou uživatelé přihlášeni k firewallu 2. Všichni klienti proxy serveru ve WinRoute (viz kapitola 5.5) 3. Všechny počítače v lokální síti, jejichž komunikace je směrována mezi internetovými a lokálními rozhraními WinRoute. Do této skupiny patří: Každý počítač, který přistupuje do Internetu, ale není z něj přihlášen žádný uživatel, Všechny lokální servery zpřístupněné (mapované) z Internetu, Všichni VPN klienti připojení z Internetu do lokální sítě. Čerpání licencí neovlivňují: DNS dotazy obsluhované modulem DNS forwarder (pozor: používají-li klienti DNS server umístěný mimo lokální sít, pak se jedná o komunikaci do Internetu), DHCP komunikace (může být použit modul DHCP server ve WinRoute nebo jiný DHCP server na počítači s WinRoute), Lokální komunikace s firewallem (např. přístup ke sdíleným diskům) počítačů, ze kterých není k firewallu přihlášen žádný uživatel. 46

47 4.6 Kontrola počtu uživatelů Uvolňování licencí Pro každý záznam v tabulce klientů je sledována doba nečinnosti (tj. doba, po kterou není zachycen žádný paket s odpovídající IP adresou vyhovující výše uvedeným podmínkám). Dosáhne-li doba nečinnosti některého klienta 15 minut, příslušný záznam je z tabulky odstraněn a počet využitých licencí snížen o 1. Uvolněnou licenci může případně využít jiný počítač. 47

48 Kapitola 5 Nastavení rozhraní a sít ových služeb 5.1 Rozhraní WinRoute pracuje jako směrovač nad všemi sít ovými rozhraními, která jsou v systému instalována. V administračním programu se rozhraní zobrazují v sekci Konfigurace Rozhraní. Obrázek 5.1 Sít ová rozhraní Rozhraní Název, který identifikuje rozhraní v rámci WinRoute. Zvolte jej tak, aby bylo zcela jednoznačné, o který adaptér se jedná (např. Internet pro rozhraní připojené do Internetu). Doporučujeme vyhnout se duplicitním názvům rozhraní (způsobily by komplikace při definici komunikačních pravidel či úpravách směrovací tabulky). Název rozhraní může být kdykoliv později změněn (viz dále), aniž by tím došlo k ovlivnění funkce WinRoute. Ikona vlevo od názvu zobrazuje typ rozhraní (sít ový adaptér, vytáčené připojení, satelitní připojení, VPN server, VPN tunel). Poznámka: Nebyl-li dosud název rozhraní zadán ručně, obsahuje tato položka jméno adaptéru z operačního systému (viz položka Jméno adaptéru). IP adresa, Maska IP adresa a maska subsítě přiřazené tomuto rozhraní. 48

49 5.1 Rozhraní Jméno adaptéru Pojmenování adaptéru v operačním systému (např. Připojení k místní síti 2 ). Slouží pro snazší orientaci, o který adaptér se jedná. Informace o adaptéru Identifikační řetězec adaptéru, který vrací příslušný ovladač zařízení. ID Jednoznačný identifikátor adaptéru v operačním systému (viz též kapitola 22.2). MAC Hardwarová (MAC) adresa příslušného sít ového adaptéru. Tlačítka pod seznamem rozhraní umožňují provádět určité akce s vybraným rozhraním. Není-li vybráno žádné rozhraní, nebo vybrané rozhraní danou funkci nepodporuje, jsou příslušná tlačítka neaktivní. Přidat Tímto tlačítkem lze přidat novou vytáčenou linku nebo VPN tunel (viz níže). Pokud byl přidán nový sít ový adaptér, je třeba jej nainstalovat a nakonfigurovat v operačním systému. WinRoute jej pak detekuje automaticky. Změnit Zobrazení detailních informací a úprava parametrů vybraného rozhraní. Odebrat Odstranění vybraného rozhraní z WinRoute. Odstranit rozhraní můžete pouze za následujících podmínek: jedná se o vytáčenou linku, která je momentálně zavěšena jedná se o sít ový adaptér, který již není v systému fyzicky přítomen nebo není aktivní Aktivní sít ový adaptér či vytočenou linku WinRoute nepovolí odebrat. Poznámky: 1. Záznam o již neexistujícím sít ovém adaptéru nemá negativní vliv na chod WinRoute je považován za neaktivní, stejně jako vytáčená linka v zavěšeném stavu. 2. Při odstranění rozhraní se ve všech komunikačních pravidlech, ve kterých bylo toto rozhraní použito, dosadí do příslušné položky hodnota Nic. Všechna taková pravidla pak budou neaktivní. Tím je zajištěno, že odebrání rozhraní nijak neovlivní smysl komunikačních pravidel (podrobnosti viz kapitola 6.3). Vytočit, Zavěsit / Povolit, Zakázat Funkce těchto tlačítek závisí na typu vybraného rozhraní: V případě vytáčené linky jsou tlačítka označena Vytočit a Zavěsit a slouží k ručnímu ovládání vybrané linky. 49

50 Kapitola 5 Nastavení rozhraní a sít ových služeb Poznámka: Vytáčet a zavěšovat linky lze také pomocí WWW administračního rozhraní (viz kapitola 11). V případě VPN tunelu jsou tato tlačítka označena Povolit a Zakázat a slouží k aktivaci / deaktivaci vybraného VPN tunelu (podrobnosti viz kapitola 20.3). Je-li vybrán sít ový adaptér, rozhraní Dial-in nebo VPN server, jsou tato tlačítka neaktivní. Obnovit Tímto tlačítkem lze aktualizovat informace o rozhraních. Poznámka: Každému sít ovému rozhraní lze přiřadit nejvýše 128 IP adres. Speciální rozhraní V sekci Rozhraní se kromě sít ových adaptérů a vytáčených linek zobrazují tato dvě speciální rozhraní: Dial-In Toto rozhraní představuje server služby RAS (telefonického připojení sítě) na počítači s WinRoute. S použitím rozhraní Dial-In lze definovat komunikační pravidla (viz kapitola 6) pro RAS klienty, kteří se na tento server připojují. Rozhraní Dial-In nelze konfigurovat ani odstranit. Poznámky: 1. Při použití RAS serveru společně s WinRoute je třeba nastavit RAS server tak, aby přiděloval klientům IP adresy ze subsítě, která není použita v žádném segmentu lokální sítě. WinRoute provádí standardní IP směrování a při nedodržení uvedené podmínky nebude toto směrování fungovat správně. 2. Pro přidělování IP adres RAS klientům lze využít DHCP server ve WinRoute (viz kapitola 5.4). VPN server Toto rozhraní představuje server pro připojení proprietárního VPN klienta firmy Kerio Technologies. Dvojitým kliknutím na toto rozhraní (případně stisknutím tlačítka Změnit) se otevírá dialog pro nastavení parametrů VPN serveru. Rozhraní VPN server nelze odstranit. Podrobné informace o proprietárním VPN řešení ve WinRoute naleznete v kapitole 20. Přidání nové vytáčené linky Stisknutím tlačítka Přidat můžeme vytvořit nové rozhraní, a to vytáčenou linku nebo VPN tunel (tj. VPN spojení typu server-to-server). 50

51 5.1 Rozhraní Obrázek 5.2 Výběr typu přidávaného rozhraní Následující text popisuje postup přidání nové vytáčené linky. Popis vytvoření VPN tunelu je uveden v kapitole Obrázek 5.3 Vytáčená linka základní parametry Přiřadit vytáčené připojení... V tomto poli vyberte položku telefonického připojení Windows (RAS), kterou používáte pro připojení k vašemu poskytovateli Internetu. Poznámky: 1. WinRoute hledá telefonická připojení pouze v systémovém telefonním seznamu. Při vytváření připojení, které má být použito ve WinRoute je třeba nastavit, aby telefonické připojení bylo dostupné pro všechny uživatele (v opačném případě operační systém uloží příslušnou položku telefonického připojení 51

52 Kapitola 5 Nastavení rozhraní a sít ových služeb do profilu uživatele, který připojení vytvořil, a odtud ji WinRoute nebude moci načíst). 2. Doporučujeme vytvořit a otestovat telefonické připojení ještě před instalací WinRoute. Jméno rozhraní Jednoznačné jméno, které bude vytvořenou linku identifikovat v rámci WinRoute. Záložka Nastavení vytáčení slouží k podrobnému nastavení, kdy a jakým způsobem bude linka vytáčena. Výchozí nastavení je ruční vytáčení. Obrázek 5.4 Vytáčená linka parametry pro vytáčení RAS položka Položka Telefonického připojení Windows, která byla vybrána v záložce Identifikátor rozhraní. Název RAS položky se zde zobrazuje pro lepší přehlednosti. Použít přihlašovací údaje z telefonického připojení Tato volba určuje, že pro ověření na vzdáleném serveru bude použito jméno a heslo uložené v příslušné položce Telefonického připojení. 52

53 5.1 Rozhraní Použít tyto přihlašovací údaje Pro ověření na vzdáleném serveru bude použito zadané Uživatelské jméno a Heslo. Tuto možnost lze využít např. v případě, kdy nechceme z nějakého důvodu přihlašovací údaje v operačním systému ukládat, chceme-li je měnit vzdáleně (pomocí Administration Console) nebo při řešení problémů. Připojení Způsob, jakým bude linka vytáčena: Ruční linku bude možné vytočit pouze ručně (v programu Administration Console nebo prostřednictvím WWW administračního rozhraní viz kapitola 11) Na žádost linka bude automaticky vytáčena na základě příchozího požadavku (paketu z lokální sítě směrovaného do Internetu). Konfigurace WinRoute a operačního systému pro správnou funkci vytáčení na žádost je podrobně popsána v kapitole Trvalé linka bude vytočena okamžitě při startu služby WinRoute Firewall Engine a bude v tomto stavu udržována (tzn. např. po výpadku či ručním zavěšení se linka automaticky ihned znovu vytočí) Vlastní tato volba umožňuje detailní nastavení časů, kdy má být povoleno vytáčení na žádost a kdy má být linka trvale připojena nebo trvale zavěšena. Obrázek 5.5 Vytáčená linka nastavení vytáčení na žádost 53

54 Kapitola 5 Nastavení rozhraní a sít ových služeb V jednotlivých sekcích dialogového okna je možné vybrat časový interval, v němž má příslušná akce platit. Tlačítko Změnit otevírá dialog pro definici časových intervalů, kde můžete interval upravit nebo vytvořit nový. Detailní informace o časových intervalech naleznete v kapitole Uživatelské nastavení vytáčení funguje následovně: Nejvyšší prioritu má volba Nevytáčet. Je-li aktuální čas v tomto intervalu, linka zůstane zavěšena (nebo se ihned zavěsí, pokud je vytočena). Dále se testuje interval pro volbu Zachovat připojení. Po dobu trvání tohoto intervalu bude linka udržována v připojeném stavu. Jako poslední se testuje volba Vytáčení na žádost povoleno. Je-li nastavena na vždy, bude vytáčení na žádost povoleno kdykoliv mimo interval uvedený u volby Nevytáčet. Volby Upřesňující parametry vytáčení pro typy Ruční, Na žádost a Vlastní. V případě trvalého připojení tyto volby nemají význam (WinRoute se stále snaží udržovat linku ve vytočeném stavu). Zavěsit při nečinnosti Doba, po které dojde k automatickému zavěšení, jestliže přes rozhraní neprocházejí žádná data. S každým procházejícím paketem je časovač doby nečinnosti nulován. Optimální dobu je nejlépe určit experimentálně. Příliš krátké časy způsobí časté vytáčení linky, naopak příliš dlouhé budou udržovat linku vytočenou po dlouhou dobu obojí má za následek zvýšení celkových nákladů na internetové připojení. Vytočit znovu, je-li linka obsazena Je-li při pokusu o vytočení linka obsazena, bude WinRoute opakovat vytáčení, dokud se připojení nezdaří nebo do zadaného maximálního počtu pokusů. Nepodaří-li se linku připojit, bude požadavek vytočení ignorován (tzn. vytočení nemůže být automaticky přeplánováno na pozdější dobu). Obnovit spojení po výpadku linky Jestliže byl detekován výpadek linky, WinRoute bude automaticky zkoušet vytočit připojení znovu. Upřesnění WinRoute umožňuje spustit libovolnou aplikaci nebo příkaz operačního systému v těchto okamžicích: Před vytočením linky, Po vytočení linky, Před zavěšením linky a Po zavěšení linky. 54

55 5.2 Záložní internetové připojení Obrázek 5.6 Vytáčená linka externí příkazy Cesta ke spustitelnému souboru musí být vždy kompletní. Pokud cesta obsahuje mezeru, musí být vložena do uvozovek, jinak bude část za mezerou považována za parametr(y) dávkového souboru. Je-li cesta k souboru v uvozovkách, pak je případný text za uzavírajícími uvozovkami rovněž považován za parametr(y) dávkového souboru. Upozornění: Pokud WinRoute běží v operačním systému jako služba, aplikace bude spuštěna pouze na pozadí. Poznámka: V případě akcí Před vytočením a Před zavěšením se po spuštění programu se nečeká na jeho ukončení. Změna parametrů rozhraní Stisknutím tlačítka Změnit lze upravit parametry vybraného rozhraní. Jedná-li se o vytáčenou linku, otevře se dialog Vlastnosti rozhraní (identický s dialogem pro přidání nové linky). U sít ového adaptéru lze nastavit jediný parametr Jméno rozhraní. V případě rozhraní VPN server a VPN tunelů se zobrazí dialog pro nastavení parametrů VPN serveru (viz kapitola 20.1), resp. VPN tunelu (viz kapitola 20.3). 5.2 Záložní internetové připojení WinRoute umožňuje definici sekundárního (záložního) internetového připojení, které se automaticky aktivuje, jestliže je detekován výpadek primárního připojení. Funkčnost primárního připojení se ověřuje vysíláním zpráv ICMP Echo Request (PING) na zadané počítače. Jakmile WinRoute zjistí, že je primární připojení opět funkční, automaticky deaktivuje záložní připojení a nastaví zpět primární. Jako záložní připojení může být použito libovolné sít ové rozhraní nebo telefonické připojení, které je ve WinRoute definováno (viz kapitola 5.1). Pro záložní připojení musí 55

56 Kapitola 5 Nastavení rozhraní a sít ových služeb přitom existovat komunikační pravidla povolující, resp. zakazující příslušnou komunikaci. Zjednodušeně řečeno, do každého pravidla, kde je ve sloupci Zdroj nebo Cíl použito rozhraní pro primární připojení, je třeba přidat také rozhraní pro záložní připojení. Podrobné informace o komunikačních pravidlech naleznete v kapitole 6.3. Příklad: Primární internetové připojení je realizováno sít ovým adaptérem (ve WinRoute označen jako Internet). Pro záložní připojení má být použita vytáčená linkavytáčené připojení. Dále má být zakázán přístup ke službě Telnet z lokální sítě do Internetu. Tyto požadavky řeší komunikační pravidla na obrázku 5.7. V každém pravidle jsou uvedeny dva cíle: sít připojená k rozhraní Internet (primární připojení) a sít připojená k rozhraní Vytáčené připojení (záložní připojení). NAT provádět překlad zdrojových IP adres při přístupu z lokální sítě do Internetu (sdílení internetového připojení). Komunikace firewallu povolení komunikace počítače s WinRoute do Internetu (tento počítač má veřejnou IP adresu, překlad adres není třeba). Obrázek 5.7 Komunikační pravidla pro primární a záložní internetové připojení Poznámky: 1. Komunikační pravidla je třeba definovat dříve, než bude aktivována funkce zálohování internetového připojení (viz níže), jinak nebude záložní připojení fungovat správně. 2. Volba Výchozí výstupní rozhraní v pravidle NAT zajistí, že zdrojová IP adresa v paketech z lokální sítě do Internetu bude vždy překládána na správnou IP adresu (tj. adresu primárního nebo záložního rozhraní podle toho, které připojení je v daném okamžiku aktivní). Chceme-li zadat konkrétní IP adresu pro překlad, musíme definovat dvě samostatná pravidla pro primární a pro záložní připojení. 56

57 5.2 Záložní internetové připojení Nastavení záložního internetového připojení Záložní internetové připojení lze nastavit v sekci Konfigurace Rozhraní, záložka Záložní připojení. Obrázek 5.8 Nastavení primárního a záložního internetového připojení Povolit automatickou aktivaci záložního připojení Tato volba zapíná/vypíná výše popsanou funkci zálohování internetového připojení. Aktuální připojení Informace, které připojení je v daném okamžiku aktivní: Primární připojení zelené podbarvení Záložní (sekundární) připojení fialové podbarvení Poznámka: Aktivní internetové připojení se může kdykoliv změnit. Pro zobrazení aktuálního stavu je třeba stisknout tlačítko Obnovit (v pravém dolním rohu záložky Záložní připojení ). 57

58 Kapitola 5 Nastavení rozhraní a sít ových služeb Testovací počítače Do tohoto pole je třeba zadat IP adresu alespoň jednoho počítače (případně směrovače apod.), jehož dostupnost bude WinRoute v pravidelných intervalech testovat. Je-li alespoň jeden z testovacích počítačů dostupný, považuje se primární internetové připojení za funkční. Poznámky: 1. Zálohování internetového připojení funguje pouze v případě, je-li zadán alespoň jeden testovací počítač (bez testovacích počítačů WinRoute nedokáže detekovat výpadek primárního připojení). 2. Jako testovací počítače je třeba uvádět počítače nebo sít ová zařízení, která jsou trvale v provozu (např. servery, směrovače apod.). Použít jako testovací počítač pracovní stanici, která je v provozu několik hodin denně, nemá příliš velký smysl. 3. Testovací počítač nesmí blokovat zprávy ICMP Echo Request (PING), které WinRoute používá pro testování jeho dostupnosti jinak by byl vždy vyhodnocen jako nedostupný. Primární připojení Nastavení primárního internetového připojení. Internetové připojení může být definováno jako: sít ové rozhraní s výchozí bránou vytáčené připojení V položce Rozhraní jsou nabízena pouze rozhraní a vytáčená připojení definovaná v záložce Rozhraní (viz kapitola 5.1). Standardní nastavení (tj. po instalaci WinRoute, resp. při prvním zapnutí funkce Povolit automatickou aktivaci záložního připojení ) je načteno z operačního systému výchozí brána a odpovídající rozhraní v systémové směrovací tabulce. Toto nastavení lze rovněž získat stisknutím tlačítka Detekovat. Není-li v operačním systému definována výchozí brána (např. v případě, kdy je primární připojení realizováno vytáčenou linkou, která je právě zavěšena), pak automatická detekce primárního připojení nefunguje primární připojení je třeba nastavit ručně. Záložní připojení Nastavení záložního internetového připojení, které bude aktivováno při detekci výpadku primárního připojení. Záložní připojení může být definováno jako sít ové rozhraní s výchozí bránou nebo jako vytáčené připojení (obdobně jako primární připojení). Poznámka: Pro záložní připojení může být použit stejný adaptér jako pro primární s jinou výchozí bránou. Tím zajistíme, že při výpadku spojení bude automaticky použit jiný směrovač ve stejné subsíti. 58

59 5.3 DNS forwarder Použití vytáčených linek Je-li jako primární a/nebo záložní internetové připojení použita vytáčená linka, je třeba vzít v úvahu tyto skutečnosti: 1. Zálohování internetového připojení je vhodné pouze pro trvalé připojení (tzn. připojení sít ovým adaptérem nebo trvale připojenou vytáčenou linkou). Pokud by jako primární připojení byla použita linka vytáčená na žádost (nebo ručně), docházelo by k automatické aktivaci záložního připojení při každém zavěšení primární linky. 2. Je-li jako záloha použito vytáčené připojení, nezáleží na tom, zda je povoleno jeho vytáčení na žádost WinRoute bude vždy linku vytáčet a zavěšovat dle potřeby. Problém však může způsobit volba Zavěsit při nečinnosti dojde-li k automatickému zavěšení záložní linky, WinRoute ji již znovu nevytočí (až po obnovení a následném dalším výpadku primárního připojení). Z výše uvedených důvodů doporučujeme nastavit parametry vytáčených linek následovně: pro primární připojení trvalé připojení pro záložní připojení ruční vytáčení 5.3 DNS forwarder Modul DNS forwarder slouží ve WinRoute ke zjednodušení konfigurace DNS na počítačích v lokální síti a pro zrychlení odpovědí na opakované DNS dotazy. DNS na lokálních počítačích můžete obecně nastavit jedním z následujících způsobů: použít IP adresu primárního, příp. i záložního DNS serveru Vašeho poskytovatele Internetu. Toto řešení je regulérní, avšak odezvy na DNS dotazy budou značně pomalé. použít DNS server v lokální síti (je-li k dispozici). Tento DNS server musí mít přístup do Internetu, aby dokázal odpovídat i na dotazy mimo lokální doménu. použít DNS forwarder ve WinRoute. Ten může rovněž sloužit jako jednoduchý DNS server pro lokální doménu (viz dále) či jako forwarder pro stávající DNS server. Je-li to možné, doporučujeme použít DNS forwarder jako primární DNS server pro počítače v lokální síti (poslední z uvedených možností). DNS forwarder zajistí rychlé zpracování DNS dotazů a jejich správné směrování ve složitějších sít ových konfiguracích. 59

60 Kapitola 5 Nastavení rozhraní a sít ových služeb Konfigurace modulu DNS forwarder Ve výchozím nastavení WinRoute je DNS forwarder zapnut a nastaven pro předávání DNS dotazů na jeden z DNS serverů konfigurovaných v operačním systému (typicky DNS server přidělený poskytovatelem internetového připojení). Podrobnou konfiguraci lze provést v sekci Konfigurace DNS forwarder. Obrázek 5.9 Nastavení parametrů modulu DNS forwarder Povolit předávání DNS dotazů Tato volba zapíná / vypíná modul DNS forwarder (služba používá protokol UDP a běží na portu 53). Pokud ve vaší sít ové konfiguraci DNS forwarder nepoužijete, můžete jej vypnout. Chcete-li na tomtéž počítači provozovat jiný DNS server, pak jej musíte vypnout jinak by nastala kolize na uvedeném portu. Předávání DNS dotazů DNS forwarder musí znát alespoň jeden DNS server, na který bude dotazy předávat. Tato volba určuje, jakým způsobem získá IP adresu tohoto serveru: Předávat DNS dotazy serveru automaticky vybranému... předpokládá se, že počítač s WinRoute má funkční připojení do Internetu. Součástí nutné konfigurace TCP/IP je také nastavení jednoho nebo více DNS serverů (ve Windows se DNS 60

61 5.3 DNS forwarder servery nastavují na konkrétním adaptéru, mají však globální platnost v rámci celého operačního systému). DNS forwarder může přečíst toto nastavení a používat stejné DNS servery. Jednoznačnou výhodou této volby je, že počítače v lokální síti budou vždy používat tentýž DNS server jako počítač s WinRoute tím lze předejít mnoha problémům. Předávat dotazy těmto DNS serverům DNS dotazy budou předávány na zadané DNS servery (je-li zadáno více serverů, považují se za primární, sekundární atd.). Tuto volbu použijte, chcete-li mít kontrolu nad tím, kam jsou DNS dotazy předávány, nebo pokud potřebujete vytvořit složitější konfiguraci. Používat cache pro rychlejší odpovědi Zapnutím této volby budou odpovědi na všechny dotazy ukládány do lokální vyrovnávací paměti (cache) DNS forwarderu. Odpovědi na opakované dotazy tak budou mnohonásobně rychlejší (opakovaným dotazem je i stejný dotaz vyslaný různými klienty). Fyzicky je DNS cache udržována v operační paměti, zároveň jsou však všechny DNS záznamy ukládány také do souboru DnsCache.cfg (viz kapitola 22.2). Díky tomu zůstávají záznamy v DNS cache uchovány i při zastavení WinRoute Firewall Engine, resp. vypnutí počítače s WinRoute. Poznámky: 1. Doba uchování DNS záznamů v cache je specifikována přímo v každém záznamu (zpravidla 1 den). 2. Použití DNS cache zrychlí také činnost vestavěného proxy serveru (viz kapitola 5.5). Vyprázdnit cache Stisknutím tohoto tlačítka dojde ke smazání všech záznamů ve vyrovnávací paměti DNS forwarderu (bez ohledu na jejich dobu životnosti). Tuto funkci lze využít např. při změně konfigurace, při testování vytáčení na žádost, odhalování chyb apod. Použít nastavení pro předávání DNS dotazů Tato volba aktivuje pravidla pro předávání DNS dotazů na jiné DNS servery. Nastavení předávání DNS dotazů DNS forwarder umožňuje předávat určité DNS dotazy na specifické DNS servery. Předávání dotazů se definuje pravidly pro DNS jména nebo subsítě. Pokud DNS jméno nebo subsít v dotazu vyhovuje některému pravidlu, pak bude tento dotaz předán na specifický DNS server. Dotazy, které nevyhovují žádnému pravidlu, jsou předávány na DNS servery dle nastavení v sekci Předávání DNS dotazů (viz výše). 61

62 Kapitola 5 Nastavení rozhraní a sít ových služeb Poznámka: Je-li aktivní jednoduchý převod DNS jmen (viz dále), pak se pravidla pro předávání dotazů uplatní pouze v případě, že DNS forwarder nedokáže dotaz zodpovědět na základě informací ze systémového souboru hosts a/nebo tabulky přidělených adres DHCP serveru. Předávání DNS dotazů na jiné servery lze využít např. v případě, chceme-li pro lokální doménu používat DNS server v lokální síti (ostatní DNS dotazy budou předávány přímo do Internetu, čímž se zrychlí odezva). Nastavení předávání DNS dotazů je rovněž důležité při konfiguraci virtuálních privátních sítí, kdy je potřeba zajistit správné předání dotazů na jména v doménách vzdálených subsítí (podrobnosti viz kapitola 20). Tlačítko Definovat otevírá dialog pro nastavení pravidel pro předávání DNS dotazů. Obrázek 5.10 Specifická nastavení předávání DNS dotazů DNS server může být specifikován pro: DNS jméno pak budou na tento DNS server předávány dotazy na jména počítačů (dotazy typu A) subsít pak budou na tento DNS server předávány dotazy na IP adresy v příslušné subsíti (reverzní doména dotazy typu PTR) Tlačítko Přidat, resp. Změnit otevírá dialog pro definici pravidla pro předávání DNS dotazů. Volba DNS dotaz na jméno slouží ke specifikaci pravidla pro DNS dotazy na jména. Do pole Obsahuje-li dotaz doménu je třeba zadat příslušné doménové jméno (typicky jméno počítače v dané doméně). Jméno domény může obsahovat znaky * (hvězdička nahrazení libovolného počtu znaků) a? (otazník nahrazení právě jednoho znaku). Pravidlo pak bude platit pro všechny domény vyhovující zadanému řetězci. 62

63 5.3 DNS forwarder Obrázek 5.11 Předávání DNS dotazů nové pravidlo Příklad: DNS jméno zadáme ve tvaru: *.?erio.c*. Pravidlo bude platit pro všechna jména v doménách kerio.cz, cerio.com, aerio.c apod., tedy např. secure.kerio.com, atd. Upozornění: Do pole Obsahuje-li dotaz doménu je nutné zadat výraz, kterému bude odpovídat celé DNS jméno! Pokud bychom zadali např. kerio.c*, pak by tomuto pravidlu vyhověla pouze jména kerio.cz, kerio.com apod., nikoliv však jména počítačů v těchto doménách (např. nebo secure.kerio.com)! Volba Reverzní DNS dotaz slouží ke specifikaci pravidla pro DNS dotazy na IP adresy v dané subsíti. Subsít se zadává adresou sítě s příslušnou maskou (např / ). Do pole Pak předat dotaz na tyto DNS server(y) lze zadat IP adresu jednoho nebo více DNS serverů, na který mají být dotazy předávány. Je-li zadáno více DNS serverů, považují se za primární, sekundární atd. Není-li zadán žádný server, znamená to, že DNS dotaz nebude předáván žádnému serveru WinRoute bude pouze prohledávat lokální soubor hosts, příp. tabulky DHCP serveru (viz dále). 63

64 Kapitola 5 Nastavení rozhraní a sít ových služeb Jednoduchý převod DNS jmen DNS forwarder může zároveň fungovat jako jednoduchý DNS server, typicky pro lokální doménu. Je-li nastaven jednoduchý převod jmen, pak se DNS forwarder vždy nejprve pokusí zodpovědět přijatý DNS dotaz, a pouze v případě neúspěchu jej předá jinému DNS serveru. Před předáním dotazu jinému DNS serveru... Tyto volby umožňují nastavit, kde má DNS forwarder vyhledávat dotazované jméno (resp. IP adresu) předtím, než dotaz předá jinému DNS serveru. Systémový soubor hosts tento soubor se nalézá v každém operačním systému, který podporuje TCP/IP. Každý řádek tohoto souboru obsahuje IP adresu počítače a seznam odpovídajících DNS jmen. Při každém DNS dotazu je nejprve prohledáván tento soubor, zda se v něm nachází požadované jméno (případně IP adresa), a teprve pak (není-li nalezeno) se dotaz předává DNS serveru. Stejným způsobem se chová DNS forwarder, je-li tato volba zapnuta. Tlačítko Editovat otevírá speciální editor, kterým lze soubor hosts upravovat přímo v Administration Console, a to i v případě, kdy je k WinRoute připojena vzdáleně (tj. z jiného počítače). Obrázek 5.12 Editor systémového souboru hosts Tabulka adres přidělených DHCP serverem jsou-li počítače v lokální síti konfigurovány pomocí DHCP serveru ve WinRoute (viz kapitola 5.4), pak má DHCP server informace o tom, jaká IP adresa byla přiřazena kterému počítači. Počítač při startu systému vysílá požadavek na přidělení IP adresy, který obsahuje i jméno počítače. DNS forwarder má přístup do tabulek DHCP serveru a může tedy zjistit, jaká IP adresa je v tomto okamžiku přidělena danému jménu počítače. Na dotaz na jméno počítače v lokální síti tedy vždy odpoví správnou (aktuální) IP adresou. 64

65 5.4 DHCP server Poznámka: Pokud jsou obě uvedené volby vypnuty, pak DNS forwarder předává všechny dotazy jiným DNS serverům. Kombinovat jméno... s touto doménou Do tohoto pole zadejte jméno lokální DNS domény. Jestliže počítač vysílá požadavek na přidělení IP adresy, vkládá do něj pouze své jméno (doménu v tomto okamžiku ještě nezná). Aby DNS forwarder dokázal správně zodpovídat dotazy na plně kvalifikovaná lokální DNS jména (tj. jména včetně domény), musí znát jméno lokální domény. Pro snazší pochopení uved me jednoduchý příklad: Lokální doména má jméno firma.cz. V lokální síti je počítač se jménem honza nastavený pro automatickou konfiguraci IP adresy z DHCP serveru. Po startu operačního systému vyšle tento počítač DHCP požadavek obsahující jméno stanice honza. DHCP server mu přidělí IP adresu Ve své tabulce uchová informaci o tom, že tato IP adresa byla přidělena stanici se jménem honza. Jiný počítač, který bude chtít s tímto počítačem komunikovat, vyšle dotaz na jméno honza.firma.cz (jedná se o počítač honza v doméně firma.cz). Kdyby DNS forwarder neznal jméno lokální domény, předal by tento dotaz na jiný DNS server (dle nastavení viz výše), protože by nerozpoznal, že se jedná o jméno v lokální doméně. Takto však může lokální doménu firma.cz oddělit a jméno honza s příslušnou IP adresou nalezne v tabulce DHCP serveru. Poznámka: Je-li v DNS forwarderu zadána lokální doména, pak mohou být v systémovém souboru hosts uvedena lokální jména včetně domény nebo bez ní v obou případech budou dotazy zodpovídány správně. 5.4 DHCP server DHCP (Dynamic Host Configuration Protocol) slouží ke snadné konfiguraci TCP/IP na počítačích v síti. Klientská stanice vyšle při startu operačního systému požadavek na konfiguraci, který je zachycen DHCP serverem. DHCP server vybere vhodné konfigurační parametry (tj. IP adresu s příslušnou maskou subsítě a další volitelné parametry např. adresu výchozí brány, adresy DNS serverů, jméno domény apod.) a přidělí je klientské stanici. Veškeré parametry pro klienty se nastavují pouze centrálně na serveru na jednotlivých stanicích stačí nastavit volbu, aby byly parametry TCP/IP konfigurovány automaticky z DHCP serveru. Toto je ve většině operačních systémů (např. Windows, Linux atd.) výchozí volba na klientských stanicích pak není třeba nic nastavovat. DHCP server přiděluje klientům IP adresy z definovaného rozsahu, a to zpravidla na určitou dobu (tzv. dobu pronájmu, angl. lease time). Před uplynutím této doby musí klient požádat o prodloužení pronájmu, jinak bude po této době IP adresa považována za volnou a v případě nedostatku volných adres ji DHCP server přidělí jinému klientovi. Vše probíhá automaticky a pro uživatele zcela transparentně. 65

66 Kapitola 5 Nastavení rozhraní a sít ových služeb V DHCP serveru mohou být rovněž definovány tzv. rezervace tj. určitým klientům budou vždy přidělovány dané IP adresy. Adresa může být rezervována pro hardwarovou (MAC) adresu nebo jméno počítače. Tito klienti pak mají pevné IP adresy, které jsou konfigurovány automaticky. Mezi hlavní výhody použití DHCP serveru patří výrazně nižší náročnost administrace (vše stačí nastavit pouze na serveru, není třeba konfigurovat jednotlivé stanice) a eliminace mnoha potenciálních chyb (např. přidělení téže IP adresy dvěma různým stanicím, chybné nastavení výchozí brány na některé stanici apod.). Konfigurace DHCP serveru K nastavení DHCP serveru ve WinRoute slouží sekce Konfigurace DHCP server. Zde lze definovat rozsahy IP adres, rezervace, volitelné parametry a zobrazovat informace o přidělených adresách a statistiky DHCP serveru. DHCP server se zapíná a vypíná volbou DHCP server povolen v horní části okna. Konfiguraci je možné provádět i v případě, že je DHCP server vypnut. Definice rozsahů IP adres K definici rozsahů IP adres včetně volitelných parametrů slouží záložka Rozsahy adres. Záložka je rozdělena na dvě části, z nichž první obsahuje rozsahy adres a rezervace: Ve sloupci Položka se zobrazují subsítě, v nichž jsou rozsahy IP adres definovány. Zaškrtávací pole vedle adresy subsítě slouží k aktivaci či deaktivaci daného rozsahu adres (takto lze rozsah dočasně vyřadit, aniž by bylo nutné jej odstraňovat a poté znovu přidávat). Pod každou subsítí jsou pak zobrazovány rezervace IP adres, které jsou v ní definovány. První položkou v tabulce jsou Výchozí parametry, kde lze nastavit výchozí parametry pro DHCP server. 66

67 5.4 DHCP server Obrázek 5.13 DHCP server rozsahy přidělovaných IP adres Obrázek 5.14 DHCP server výchozí DHCP parametry 67

68 Kapitola 5 Nastavení rozhraní a sít ových služeb Doba přidělení Doba, na kterou je IP adresa klientům přidělována. Pokud během této doby klient nepožádá o prodloužení pronájmu nebo o uvolnění adresy, pak je po jejím uplynutí tato adresa automaticky uvolněna a může být přidělena jinému klientovi. DNS server Může být uveden libovolný DNS server (případně více DNS serverů oddělených středníky). Jako primární DNS server (tj. na prvním místě) však doporučujeme uvádět DNS forwarder ve WinRoute (tj. IP adresu počítače s WinRoute). DNS forwarder totiž dokáže spolupracovat s DHCP serverem (viz kapitola 5.3) a na dotazy na jména lokálních počítačů bude vždy odpovídat správnou IP adresou. WINS server IP adresa WINS serveru. Doména Lokální internetová doména. Pokud lokální doména neexistuje, pak tento parametr nenastavujte. Upřesnění Tlačítko Upřesnění otevírá dialog s kompletním výčtem volitelných parametrů, které protokol DHCP podporuje (včetně výše uvedených). V tomto dialogu je možné přidat libovolný parametr, který DHCP server podporuje, a nastavit jeho hodnotu. Výchozí parametry jsou přidělovány automaticky rozsahům adres, pokud není změněna konfigurace konkrétního rozsahu adres (dialog Rozsah IP adres Volby). Podobně funguje vztah mezi rozsahem adres a rezervacemi (pokud nezměníte parametry přímo u konkrétní rezervace, platí parametry nastavené v daném rozsahu adres). Platnost parametrů je tedy podřízena hierarchii stromové struktury, do které jsou rozsahy řazeny. Volbou Přidat Rozsah adres se zobrazí dialog pro definici rozsahu adres. Poznámka: V každé subsíti je možné definovat pouze jeden rozsah adres. Popis Textový popis vytvářeného rozsahu adres (pro přehled správce WinRoute). První adresa, Poslední adresa Počáteční a koncová adresa definovaného rozsahu. Poznámka: Doporučujeme definovat větší rozsah IP adres, než je skutečný počet počítačů v dané subsíti. Maska subsítě Maska odpovídající subsíti, v níž je tento rozsah adres definován. Maska subsítě je přidělována klientům společně s IP adresou. Poznámka: Program Administration Console kontroluje, zda počáteční a koncová adresa rozsahu patří do téže subsítě vymezené zadanou maskou. Pokud není tato podmínka splněna, bude po stisknutí tlačítka OK hlášena chyba. 68

69 5.4 DHCP server Obrázek 5.15 DHCP server definice rozsahu adres Doba přidělení Doba, na kterou je IP adresa klientům přidělována. Pokud během této doby klient nepožádá o prodloužení pronájmu nebo o uvolnění adresy, pak je po jejím uplynutí tato adresa automaticky uvolněna a může být přidělena jinému klientovi. Výjimky WinRoute umožňuje definovat v každé subsíti pouze jeden rozsah IP adres. Chcemeli vytvořit několik nesouvislých rozsahů, provedeme to následovně: vytvoříme rozsah adres pokrývající všechny požadované rozsahy definujeme tzv. výjimky tj. rozsahy adres, které nemají být přidělovány Příklad: V subsíti chceme vytvořit dva rozsahy adres: až a až Adresy až mají zůstat vyhrazeny pro jiné účely. Vytvoříme rozsah adres až a stisknutím tlačítka Výjimky definujeme rozsah adres až , které nemají být DHCP serverem přidělovány. Parametry Dialog Rozsah IP adres umožňuje zadání základních DHCP parametrů, které budou klientům přidělovány: 69

70 Kapitola 5 Nastavení rozhraní a sít ových služeb Obrázek 5.16 DHCP server výjimky z definovaného rozsahu adres Výchozí brána musí být uvedena IP adresa směrovače, který je výchozí branou pro subsít, z níž jsou IP adresy přidělovány (tzn. IP adresa rozhraní, ke kterému je daná subsít připojena)! Výchozí brána v jiné subsíti nemá žádný smysl (byla by pro klienty nedosažitelná). DNS server může být uveden libovolný DNS server (případně více DNS serverů oddělených středníky). Jako primární DNS server (tj. na prvním místě) však doporučujeme uvádět DNS forwarder ve WinRoute (tj. IP adresu počítače s WinRoute). DNS forwarder totiž dokáže spolupracovat s DHCP serverem (viz kapitola 5.3) a na dotazy na jména lokálních počítačů bude vždy odpovídat správnou IP adresou. WINS server Doména lokální internetová doména. Pokud lokální doména neexistuje, pak tento parametr nenastavujte. Upozornění: Tento parametr neslouží k zadání jména Windows NT domény! Upřesnění... Tlačítko Upřesnění otevírá dialog s kompletním výčtem volitelných parametrů, které protokol DHCP podporuje (včetně výše uvedených). V tomto dialogu je možné přidat libovolný parametr, který DHCP server podporuje, a nastavit jeho hodnotu. Dialog je zároveň druhou částí záložky Rozsah adres. Nastavené DHCP parametry a jejich hodnoty pro vybraný rozsah IP adres se zobrazují v pravém sloupci záložky Rozsahy adres. Poznámka: V pravé horní části záložky Rozsahy adres jsou zobrazovány jednoduché statistiky DHCP serveru. Pro vybraný rozsah IP adres je uveden: celkový počet IP adres v tomto rozsahu počet a procentuální podíl přidělených adres 70

71 5.4 DHCP server Obrázek 5.17 DHCP server nastavení DHCP parametrů počet a procentuální podíl volných adres Obrázek 5.18 DHCP server statistika (přidělené a volné adresy v rozsahu) Rezervace IP adresy DHCP server umožňuje vyhradit (rezervovat) vybranou IP adresu pro konkrétní počítač. Rezervaci vytvoříme v záložce Rozsahy adres volbou Přidat Rezervaci. Rezervovat je možné libovolnou IP adresu, která patří do některé z definovaných subsítí. Nezáleží na tom, zda je tato adresa uvnitř nebo vně rozsahu dynamicky přidělovaných adres, a může být i v některém z rozsahů, které jsou definovány jako výjimky. IP adresa může být rezervována pro: hardwarovou (MAC) adresu počítače zadává se v podobě hexadecimálních (šestnáctkových) čísel oddělených dvojtečkami např.: 00:bc:a5:f2:1e:50 71

72 Kapitola 5 Nastavení rozhraní a sít ových služeb Obrázek 5.19 DHCP server rezervace IP adresy nebo pomlčkami např.: 00-bc-a5-f2-1e-50 MAC adresu sít ového adaptéru je možné zjistit pomocí nástrojů operačního systému (např. příkaz ipconfig), případně speciálního programu dodávaného výrobcem sít ového adaptéru. jméno počítače většina DHCP klientů posílá v DHCP požadavku jméno počítače (např. všechny operační systémy Windows), příp. je možné klienta nastavit, aby jméno počítače posílal (např. operační systém Linux). Tlačítko Upřesnění otevírá dialog pro nastavení DHCP parametrů, které budou společně s touto adresou přidělovány. Pokud je rezervovaná IP adresa uvnitř již definovaného rozsahu, pak jsou automaticky použity DHCP parametry přiřazené tomuto rozsahu. V dialogu Rezervace adresy je možné přidat další parametry, případně nastavit specifické hodnoty již existujících parametrů. Poznámka: IP adresu lze rezervovat také tak, že v záložce Přidělené adresy nalezneme IP adresu, která byla dynamicky přidělena vybranému počítači, a tu pro něj rezervujeme (podrobnosti viz dále). Přidělené IP adresy V záložce Přidělené adresy se (v podobě stromu) zobrazují rozsahy IP adres a v každém z nich všechny IP adresy, které jsou aktuálně přiděleny počítačům v dané subsíti. 72

73 5.4 DHCP server Obrázek 5.20 DHCP server přehled přidělených a rezervovaných adres Poznámka: Barva ikony odpovídá stavu adresy (viz dále). Ikona s písmenem R označuje IP adresy, které jsou rezervovány. Sloupce okna Přidělené IP adresy obsahují následující informace: IP adresa přidělená IP adresa, Skončení platnosti datum a čas skončení doby pronájmu této IP adresy, MAC adresa hardwarová adresa počítače, jemuž je IP adresa přidělena se jménem výrobce sít ové karty, Jméno počítače název počítače, kterému je IP adresa přidělena (pokud jej DHCP klient na tomto počítači DHCP serveru posílá), Stav stav přidělení IP adresy: Přiděleno (adresa je přidělena klientovi a doba pronájmu dosud neskončila), Expirováno (doba pronájmu již uplynula a klient nepožádal o obnovení), Odmítnuto (klient odmítl přidělení této adresy) nebo Uvolněno (klient uvolnil přidělenou adresu). Poznámky: 1. Informace o expirovaných a uvolněných IP adresách DHCP server udržuje pro případ, kdy příslušný klient opět požádá o přidělení IP adresy DHCP server se snaží přidělovat jednomu klientovi stále tutéž adresu. V případě nedostatku volných IP adres však mohou být tyto adresy přiděleny jiným klientům. 2. S odmítnutými IP adresami DHCP server zachází dle nastavení v záložce Upřesňující volby viz dále. 73

74 Kapitola 5 Nastavení rozhraní a sít ových služeb Následující sloupce jsou ve výchozím nastavení skryty: Čas posledního požadavku datum a čas, kdy klient vyslal poslední požadavek na přidělení či obnovení adresy, Zbývající doba přidělení doba zbývající od aktuálního času do Skončení platnosti. Tlačítko Uvolnit slouží k okamžitému uvolnění vybrané IP adresy (bez ohledu na její stav). Uvolněná adresa se ihned vrací do fondu volných adres a může být nabízena dalším klientům. Tlačítkem Rezervovat můžete rezervovat vybranou (dynamicky přidělenou) IP adresu pro počítač, jemuž je aktuálně přidělena. Po stisknutí tohoto tlačítka dojde k automatickému přepnutí do záložky Rozsahy adres a zobrazí se dialog pro rezervaci adresy, jehož položky jsou již vyplněny odpovídajícími údaji (s výjimkou položky Popis). Po doplnění popisu a stisknutí tlačítka OK je IP adresa trvale rezervována pro počítač, kterému byla původně dynamicky přidělena. Poznámka: Do dialogu pro rezervaci IP adresy je automaticky dosazena MAC adresa počítače, kterému je daná IP adresa přidělena. Chcete-li IP adresu rezervovat pro jméno počítače, změňte nastavení položek Rezervovat pro a Hodnota. Upřesňující volby pro DHCP server Záložka Upřesňující volby slouží k nastavení některých dalších parametrů DHCP serveru. BOOTP Zapnutím této volby bude DHCP server přidělovat IP adresy (včetně volitelných parametrů) také klientům protokolu BOOTP (předchůdce DHCP přiděluje konfiguraci pouze staticky na základě MAC adresy). Windows RAS Tato volba umožňuje povolit službu DHCP pro klienty RAS (Remote Access Service). Dále lze nastavit dobu přidělení adresy pro RAS klienty, pokud nevyhovuje výchozí nastavení této hodnoty. Upozornění: Služba RAS ve Windows přiděluje při každém připojení novou IP adresu (i v případě, že se jedná o téhož klienta). WinRoute zahrnuje klienty služby RAS do celkového počtu klientů při kontrole, zda nedošlo k překročení počtu uživatelů povoleného licencí (viz kapitola 4.6). Z toho vyplývá, že za určitých podmínek (příliš velký rozsah IP adres pro službu RAS a/nebo příliš dlouhá doba přidělení adresy klientům RAS) může opakovaným připojováním RAS klientů dojít k překročení povoleného počtu uživatelů. Vzdálený klient se pak bude moci připojit a komunikovat s počítači v lokální síti, nebude však moci přistupovat přes WinRoute do Internetu. 74

75 5.5 Proxy server Obrázek 5.21 DHCP server upřesňující volby Volby pro odmítnuté adresy Nastavení v této sekci určuje, jakým způsobem budou použity IP adresy, které byly klienty odmítnuty (zpráva DHCPDECLINE). Tyto IP adresy mohou být bud okamžitě považovány za volné a v případě potřeby přiděleny dalším klientům (volba Nabízet ihned) nebo po určitou dobu blokovány pro případ, že o ně původní klienti znovu požádají (volba Nabízet po uplynutí doby). 5.5 Proxy server WinRoute obsahuje klasický HTTP proxy server, přestože umožňuje díky technologii NAT přímý přístup do Internetu ze všech počítačů v lokální síti. V některých případech totiž není použití přímého přístupu vhodné nebo jej nelze použít vůbec. Jedná se zejména o tyto situace: 1. Z počítače s WinRoute není možné přímé připojení, je třeba použít proxy server poskytovatele Internetu. Proxy server ve WinRoute umí využívat tzv. nadřazený proxy server (parent proxy server), kterému předává veškeré požadavky. 75

76 Kapitola 5 Nastavení rozhraní a sít ových služeb 2. Připojení do Internetu je realizováno vytáčenou linkou a přístup na určité WWW stránky je blokován (viz kapitola 9.1). Při použití přímého přístupu dojde k vytočení linky dříve, než může být zachycen vlastní HTTP požadavek (linka je vytáčena na DNS dotaz nebo při požadavku klienta na navázání spojení s WWW serverem). Při přístupu na zakázanou WWW stránku WinRoute vytočí linku a poté zablokuje přístup na požadovanou stránku linka je vytočena zbytečně. Proxy server dokáže přijmout a zpracovat požadavek klienta lokálně. Jedná-li se o zakázanou stránku, k vytočení linky nedojde. 3. WinRoute je nasazen do sítě s velkým počtem počítačů, kde byl dříve používán proxy server. Změna konfigurace všech počítačů by byla časově i technicky náročná. Při použití proxy serveru zůstává přístup do Internetu funkční konfigurace jednotlivých počítačů může zůstat nezměněna (případně lze změnit nastavení pouze na některých počítačích). Proxy server ve WinRoute lze použít pro protokoly HTTP, HTTPS a FTP (protokol FTP je podporován od verze 6.0.2). Proxy server nepodporuje protokol SOCKS (speciální protokol pro komunikaci mezi klientem a proxy serverem). Poznámka: Podrobné informace o použití FTP přes proxy server ve WinRoute naleznete v kapitole Konfigurace proxy serveru Parametry proxy serveru se nastavují v sekci Konfigurace Filtrování obsahu Pravidla pro HTTP, záložka Proxy server. Povolit netransparentní proxy server Tato volba zapíná HTTP proxy server ve WinRoute na portu uvedeném v položce Port (výchozí port je 3128). Upozornění: Zadáme-li do položky Port číslo portu, který již používá jiná služba či aplikace, pak po stisknutí tlačítka Použít WinRoute tento port sice akceptuje, ale proxy server na něm nespustí a do záznamu Error (viz kapitola 19.8) se vypíše následující chybové hlášení: failed to bind to port 3128: another application is using this port Pokud nemáte jistotu, že zadaný port je skutečně volný, pak bezprostředně po stisknutí tlačítka Použít zkontrolujte záznam Error, zda se v něm takovéto hlášení neobjevilo. 76

77 5.5 Proxy server Obrázek 5.22 Nastavení parametrů HTTP proxy serveru Povolit spojení na libovolný TCP port Tato bezpečnostní volba umožňuje povolit nebo blokovat tzv. tunelování jiných aplikačních protokolů (než HTTP, HTTPS a FTP) přes proxy server. Je-li tato volba vypnuta, pak proxy server povoluje navázání spojení pouze na standardní port služby HTTPS (443) předpokládá se, že v tomto případě se jedná o přístup na zabezpečené WWW stránky. Je-li volba zapnuta, pak proxy server může navázat spojení na libovolný port. Může se jednat o protokol HTTPS na nestandardním portu, ale také o tunelování jiného aplikačního protokolu. Poznámka: Na nezabezpečenou komunikaci protokoly HTTP a FTP nemá tato volba žádný vliv. HTTP a FTP komunikace je ve WinRoute obsluhována inspekčními moduly, které propustí pouze platné HTTP a FTP požadavky. Předávat požadavky nadřazenému... Zapnutím této volby bude proxy server ve WinRoute předávat veškeré požadavky nadřazenému proxy serveru specifikovanému v následujících položkách: Server DNS jméno nebo IP adresa nadřazeného proxy serveru a port, na kterém běží (výchozí port je 3128). Nadřazený proxy server vyžaduje ověření tuto volbu zapněte, pokud nadřazený proxy server vyžaduje ověření uživatele jménem a heslem. Do položek 77

78 Kapitola 5 Nastavení rozhraní a sít ových služeb Uživatelské jméno a Heslo vyplňte příslušné přihlašovací údaje. Poznámka: Jméno a heslo pro ověření na nadřazeném proxy serveru se posílá s každým HTTP požadavkem. Je podporováno pouze ověřování typu Basic. Volba Předávat požadavky nadřazenému proxy serveru zároveň automaticky nastavuje způsob přístupu WinRoute do Internetu (pro kontrolu a stahování nových verzí, aktualizaci antiviru McAfee a přístup do online databází modulu ISS OrangeWeb Filter). Nastavit skript pro automatickou konfiguraci... Pro použití proxy serveru je nutné správně nastavit parametry WWW prohlížečů na klientských počítačích. Většina současných prohlížečů (např. Microsoft Internet Explorer, Netscape/Mozilla/Firefox/SeaMonkey, Opera apod.) umožňuje automatickou konfiguraci skriptem staženým ze zadaného URL. V případě proxy serveru ve WinRoute je konfigurační skript uložen na adrese: kde je IP adresa počítače s WinRoute a 3128 je port proxy serveru (viz výše). Volba Nastavit skript pro automatickou konfiguraci prohlížečů umožňuje přizpůsobit konfigurační skript tak, aby nastavoval prohlížeče správně podle aktuální konfigurace WinRoute a lokální sítě: Přímý přístup v prohlížeči nebude nastaven žádný proxy server. Proxy server ve WinRoute v prohlížeči bude nastavena IP adresa počítače s WinRoute a port, na kterém je proxy server spuštěn (viz výše). Poznámka: Pro použití konfiguračního skriptu musí být proxy server vždy spuštěn (i v případě, že prohlížeče budou nastavovány pro přímý přístup). Povolit prohlížečům použít konfigurační skript automaticky... Prohlížeč Microsoft Internet Explorer se může být konfigurován zcela automaticky použitím DHCP serveru. V nastavení prohlížeče stačí zapnout volbu Automaticky zjišt ovat nastavení (Automatically detect settings). Podmínkou použití této funkce je spuštěný DHCP server ve WinRoute (viz kapitola 5.4). Parametry TCP/IP na příslušné stanici však mohou být nastaveny staticky Microsoft Internet Explorer vyšle při svém spuštění speciální DHCP požadavek. TIP: Tato volba umožňuje jediným kliknutím nastavit všechny prohlížeče Microsoft Internet Explorer na počítačích v lokální síti. 5.6 HTTP cache Cache slouží ke zrychlení přístupu na opakovaně navštěvované WWW stránky a snížení zatížení internetového připojení (v případě měřené linky se také sníží objem přenese- 78

79 5.6 HTTP cache ných dat). Stahované soubory se ukládají na disk počítače s WinRoute a při dalším přístupu nemusejí být znovu stahovány z WWW serveru. Objekty se do cache ukládají na omezenou dobu (Time To Live TTL). Tato doba určuje, zda se má na WWW serveru ověřovat novější verze daného objektu. Pokud doba TTL nevypršela, objekt se vezme z cache. V opačném případě se ověří, zda se objekt na příslušném WWW serveru změnil, a pokud ano, stáhne se nová verze. Tento mechanismus zajišt uje průběžnou aktualizaci objektů v cache. Cache lze použít při přístupu přes proxy server i přímém přístupu. V případě přímého přístupu musí být na komunikaci aplikován inspekční modul HTTP. Ve výchozí konfiguraci WinRoute je tato podmínka splněna pro protokol HTTP na standardním portu 80. (podrobnosti viz kapitoly 6.3 a 12.3). Parametry HTTP cache se nastavují v sekci Konfigurace Filtrování obsahu Pravidla pro HTTP, záložka Cache. Obrázek 5.23 Nastavení parametrů HTTP cache 79

80 Kapitola 5 Nastavení rozhraní a sít ových služeb Povolit cache pro transparentní proxy Zapnutí cache pro HTTP komunikaci obsluhovanou inspekčním modulem HTTP (tj. přímý přístup do Internetu). Povolit cache pro proxy server Zapnutí cache pro HTTP komunikaci přes proxy server ve WinRoute (viz kapitola 5.5). Doba životnosti (TTL)... Výchozí doba platnosti objektu v cache. Tato doba je použita, jestliže: pro konkrétní objekt není nastavena specifická doba životnosti (nastavuje se v dialogu, který se otevírá tlačítkem Specifická nastavení pro URL viz dále) není akceptována doba životnosti určená WWW serverem (viz položka Akceptovat dobu životnosti (TTL) dodanou serverem) Adresář pro cache Adresář pro ukládání objektů. Ve výchozím nastavení se používá podadresář cache v adresáři, kde je WinRoute nainstalován. Upozornění: Změna adresáře pro cache se projeví až po příštím startu WinRoute Firewall Engine. Staré soubory cache v původním adresáři budou automaticky odstraněny. Velikost cache Velikost souboru cache na disku. Maximální velikost cache je omezena na 2 GB (2047 MB) Poznámky: 1. Je-li cache zaplněna z 98%, spustí se automaticky tzv. úklid smazání všech objektů, jejichž doba životnosti již vypršela. Nepodaří-li se odstranit žádné objekty, nebudou do cache ukládány nové objekty, dokud se místo neuvolní (při některém z dalších úklidů nebo ručním vymazáním). 2. Uvedená maximální velikost cache platí pro WinRoute od verze Starší verze umožňovaly nastavení cache až do velikosti 4 GB (tento limit byl snížen z technických důvodů). Je-li při startu WinRoute Firewall Engine detekována cache větší než 2047 MB, pak je její velikost automaticky snížena na tuto hodnotu. 3. Při nastavení velikosti cache větší než je aktuální volné místo na příslušném disku se cache neinicializuje a do záznamu Error (viz kapitola 19.8) se zapíše odpovídající chybové hlášení. Velikost cache v paměti Maximální velikost cache v operační paměti. Tato cache slouží zejména pro urychlení zápisu do cache na disku. 80

81 5.6 HTTP cache Příliš vysoká hodnota může mít negativní vliv na výkon počítače (velikost cache by neměla přesáhnout cca 10% velikosti operační paměti). Max. velikost HTTP objektu Maximální velikost objektu, který bude do cache uložen. Statistiky dokazují, že největší počet požadavků je na objekty malé velikosti (např. HTML stránky, obrázky apod.). Velké objekty, např. archivy, které se zpravidla stahují jednorázově, by v cache zbytečně zabíraly místo. Volby pro cache Upřesňující nastavení chování cache. Dokončit stahování objektů při přerušení po zaškrtnutí této volby se bude automaticky dokončovat stahování objektů, jestliže byl požadavek uživatelem přerušen (tlačítkem Stop ve WWW prohlížeči). Ve velkém počtu případů totiž uživatel přerušuje otevírání stránky z důvodu příliš pomalého natahování. Rozhodneli se uživatel navštívit stránku znovu (případně ji navštíví jiný uživatel), bude stránka k dispozici nesrovnatelně rychleji. Ukládat odpovědi na přesměrování (redirect) po zapnutí této volby budou do cache ukládány HTTP odpovědi obsahující přesměrování. Akceptovat dobu životnosti (TTL) dodanou serverem tato volba způsobí uložení objektů do cache na dobu doporučenou WWW serverem, ze kterého jsou objekty stahovány. Pokud server tuto dobu neurčí, použije se výchozí doba (viz položka Doba životnosti (TTL) pro protokol HTTP). Upozornění: Některé WWW servery mohou záměrně dodávat příliš krátké nebo příliš dlouhé doby za účelem potlačení cache. Ignorovat direktivu serveru Cache-Control po zapnutí této volby bude WinRoute ignorovat direktivy pro řízení cache na WWW stránkách. Pokud se obsah nějaké stránky velmi často mění, její autor na ni zpravidla umístí direktivu, aby se neukládala do cache. V některých případech je tato direktiva používána nerozumně, např. za účelem vyřazení cache. Volba Ignorovat direktivu serveru Cache-Control způsobí, že WinRoute bude akceptovat pouze direktivy no-store a private. Poznámka: WinRoute pracuje pouze s direktivami z hlaviček HTTP odpovědí, nikoliv ze samotných stránek. Vždy kontrolovat platnost souborů v cache zapnutím této volby bude WinRoute při každém požadavku kontrolovat, zda se na serveru nenachází novější verze objektu uloženého v cache (bez ohledu na to, zda to klient požaduje). 81

82 Kapitola 5 Nastavení rozhraní a sít ových služeb Poznámka: Klient si může kdykoliv vyžádat kontrolu novější verze objektu na WWW serveru (bez ohledu na nastavení cache). Např. v prohlížečích Microsoft Internet Explorer a Netscape/Mozilla/Firefox/SeaMonkey lze tuto kontrolu vyvolat stisknutím kombinace kláves Ctrl+F5. Prohlížeče lze také nastavit, aby kontrolovaly novější verze stránek při každém přístupu (pak stačí stránku pouze obnovit). Specifická nastavení pro URL Výchozí doba životnosti objektu v cache nemusí být vyhovující pro všechny stránky. V některých případech může vzniknout požadavek neukládat stránku (resp. objekt) do cache vůbec či zkrátit dobu jeho platnosti (např. pro stránky, které se mění několikrát denně). Tlačítko Specifická nastavení pro URL otevírá dialog, ve kterém lze nastavit dobu platnosti pro konkrétní URL. Obrázek 5.24 HTTP cache specifická nastavení pro URL Pravidla v tomto dialogu tvoří uspořádaný seznam, který je procházen shora dolů (tlačítky se šipkami na pravé straně okna lze upravit pořadí pravidel). Popis Textový popis položky (pro snazší orientaci) URL URL, pro které má být nastavena specifická doba životnosti objektů v cache. URL může být zadáno v jednom z těchto tvarů 82

83 5.6 HTTP cache kompletní URL (např. podřetězec s použitím hvězdičkové konvence (např. *idnes.cz*) jméno serveru (např. libovolné URL na tomto serveru (zadaný řetězec se automaticky doplní na tvar: TTL Doba platnosti objektů vyhovujících uvedenému URL. Volba 0 dní, 0 hodin znamená, že objekty nebudou do cache ukládány. 83

84 Kapitola 6 Komunikační pravidla Komunikační pravidla (Traffic Policy) jsou základem konfigurace WinRoute. V jediné tabulce je integrováno nastavení: zabezpečení (tj. ochrany lokální sítě včetně počítače, na němž je WinRoute nainstalován, proti nežádoucímu průniku z Internetu) překladu IP adres (též NAT, Network Address Translation technologie umožňující transparentní přístup z celé lokální sítě do Internetu prostřednictvím jediné veřejné IP adresy) zpřístupnění serverů (služeb) běžících v lokální síti z Internetu (tzv. mapování portů) řízení přístupu lokálních uživatelů do Internetu K definici komunikačních pravidel slouží sekce Konfigurace Komunikační pravidla. Pravidla mohou být definována dvěma způsoby: ručně (pro zkušené správce) nebo pomocí průvodce (pro méně zkušené uživatele nebo případy, kdy nejsou třeba žádná speciální nastavení). Typický postup je vytvořit základní komunikační pravidla pomocí průvodce a tato pravidla pak doladit, případně doplnit další pravidla dle potřeby. Zkušení správci nemusejí průvodce použít vůbec mohou vytvořit kompletní sadu pravidel přesně podle specifických požadavků. 6.1 Průvodce komunikačními pravidly Průvodce (wizard) se uživatele dotáže pouze na nejnutnější informace, na jejichž základě vytvoří sadu komunikačních pravidel. Vytvořená pravidla zajistí přístup z lokální sítě do Internetu ke zvoleným službám, přístup z Internetu k vybraným lokálním serverům a plnou ochranu lokální sítě (včetně počítače s WinRoute) proti neoprávněnému přístupu z Internetu. Aby bylo možné zaručit funkčnost WinRoute po použití průvodce, jsou před dokončením průvodce všechna stávající pravidla smazána a nahrazena pravidly vytvořenými automaticky na základě poskytnutých informací. Průvodce komunikačními pravidly se spustí stisknutím tlačítka Průvodce. 84

85 6.1 Průvodce komunikačními pravidly Poznámka: Nahrazení stávajících komunikačních pravidel pravidly vytvořenými průvodcem se provádí až po potvrzení posledního kroku. Průvodce tedy můžete v kterémkoliv kroku stornovat beze ztráty stávajících pravidel. Krok 1 informace Obrázek 6.1 Průvodce komunikačními pravidly úvodní informace Průvodce předpokládá, že počítač, kde je WinRoute nainstalován, je vybaven: alespoň jedním aktivním adaptérem pro lokální sít alespoň jedním aktivním adaptérem připojeným do Internetu nebo je definováno alespoň jedno vytáčené připojení. Vytáčená linka nemusí být v okamžiku spuštění průvodce připojena. Krok 2 výběr typu internetového rozhraní Vyberte způsob, jakým je počítač s WinRoute připojen do Internetu: sít ovým adaptérem (Ethernet, WaveLAN, DSL apod.), vytáčenou linkou (analogový modem, ISDN atd.) nebo satelitním systémem DirecWay. Satelitní připojení DirecWay je nabízeno pouze v případě, že je v operačním systému detekován příslušný ovladač zařízení. 85

86 Kapitola 6 Komunikační pravidla Obrázek 6.2 Průvodce komunikačními pravidly výběr typu internetového připojení Krok 3 výběr internetového adaptéru nebo vytáčené linky Je-li počítač připojen do Internetu sít ovým adaptérem, stačí jej vybrat ze seznamu. V průvodci se pro snazší orientaci zobrazuje také IP adresa, maska subsítě a MAC adresa zvoleného adaptéru. Obrázek 6.3 Průvodce komunikačními pravidly výběr adaptéru připojeného do Internetu Poznámka: Na prvním místě seznamu je nabízeno internetové rozhraní s výchozí bránou. Proto je ve většině případů v tomto kroku již přednastaven správný adaptér. V případě vytáčené linky je třeba vybrat příslušné telefonické připojení (definované v operačním systému) a specifikovat, jaké přihlašovací údaje mají být použity: Použít přihlašovací údaje z telefonického připojení (RAS položky) uživatelské jméno a heslo pro ověření na vzdáleném serveru bude načteno z příslušné položky telefonického připojení ve Windows. Podmínkou je, že telefonické připojení musí být 86

87 6.1 Průvodce komunikačními pravidly Obrázek 6.4 Průvodce komunikačními pravidly nastavení vytáčeného připojení do Internetu uloženo v systémovém telefonním seznamu (při jeho vytváření je třeba nastavit, že připojení bude dostupné pro všechny uživatele). Použít tyto přihlašovací údaje pro ověření na vzdáleném serveru bude použito zadané Uživatelské jméno a Heslo. Tuto možnost lze využít např. v případě, kdy nechceme z nějakého důvodu přihlašovací údaje v operačním systému ukládat nebo je budeme chtít později vzdáleně měnit. Krok 4 omezení přístupu na Internet Zvolte, k jakým službám v Internetu budou uživatelé z lokální sítě smět přistupovat: Povolit přístup ke všem službám Přístup z lokální sítě do Internetu nebude nijak omezen. Uživatelé budou smět využívat jakoukoliv službu běžící na serveru v Internetu. Povolit přístup pouze k následujícím službám Z lokální sítě bude povolen přístup pouze ke službám, které zde vyberete. Poznámka: V tomto dialogu je uveden výčet pouze základních služeb (nezávisle na tom, jaké služby jsou ve WinRoute definovány viz kapitola 12.3). Další služby můžete povolit přidáním vlastních komunikačních pravidel viz kapitola

88 Kapitola 6 Komunikační pravidla Obrázek 6.5 Průvodce komunikačními pravidly povolení přístupu ke službám v Internetu Krok 5 povolení komunikace Kerio VPN Chcete-li použít proprietární VPN řešení ve WinRoute pro připojování vzdálených klientů nebo vytváření tunelů mezi vzdálenými sítěmi, ponechte zapnutou volbu Vytvořit pravidla pro Kerio VPN server. Průvodce přidá do komunikačních pravidel specifické služby a skupiny adres pro Kerio VPN. Podrobné informace o proprietárním VPN řešení naleznete v kapitole 20. Používáte-li (nebo plánujete-li použít) VPN řešení jiného výrobce (např. Microsoft PPTP, Nortel IPSec apod.), vypněte volbu Vytvořit pravidla pro Kerio VPN server. Chcete-li vzdáleně přistupovat ke sdíleným prostředkům v lokální síti pomocí WWW prohlížeče, ponechte zapnutou volbu Vytvořit pravidla pro Kerio Clientless SSL-VPN. Toto rozhraní je nezávislé na Kerio VPN a může být použito i společně s VPN řešením jiného výrobce. Podrobné informace naleznete v kapitole

89 6.1 Průvodce komunikačními pravidly Obrázek 6.6 Průvodce komunikačními pravidly Kerio VPN Krok 6 zpřístupnění služeb v lokální síti Je-li na počítači s WinRoute či na některém počítači v lokální síti provozována služba (např. WWW server, FTP server apod.), kterou chcete zpřístupnit z Internetu, definujte ji v tomto dialogu. Obrázek 6.7 Průvodce komunikačními pravidly zpřístupnění lokálních služeb Poznámka: Pokud bylo v předchozím kroku požadováno vytvoření pravidel pro VPN, budou do seznamu lokálních serverů automaticky přidány služby Kerio VPN a HTTPS na firewallu. Odstranění nebo změna nastavení těchto služeb způsobí nedostupnost VPN služeb z Internetu! Tlačítko Přidat otevírá dialog pro zpřístupnění nové služby. 89

90 Kapitola 6 Komunikační pravidla Obrázek 6.8 Průvodce komunikačními pravidly mapování lokální služby Služba běží na Volba počítače, na kterém běží příslušná služba (tzn. na který bude přesměrována příchozí komunikace z Internetu): Firewall počítač, na němž je WinRoute nainstalován Lokální počítač s IP adresou jiný počítač v lokální síti (lokální server) Poznámka: Výchozí brána lokálním serveru musí být nastavena tak, aby přistupoval do Internetu přes WinRoute jinak nebude zpřístupnění služby fungovat! Služba Výběr služby, která má být zpřístupněna. Tato služba musí být nejprve definována v sekci Konfigurace Definice Služby (viz kapitola 12.3). Poznámka: Většina běžných služeb je ve WinRoute již předdefinována. Krok 7 NAT Pokud se jedná o privátní lokální sít, která má být připojena do Internetu přes jedinou veřejnou IP adresu, zapněte funkci NAT (překlad IP adres). Je-li WinRoute použit pro směrování mezi dvěma veřejnými sítěmi či mezi dvěma lokálními segmenty (tzv. neutrální směrovač), pak překlad adres nezapínejte. Obrázek 6.9 Průvodce komunikačními pravidly sdílení internetového připojení (NAT) 90

91 6.1 Průvodce komunikačními pravidly Krok 8 vytvoření pravidel V posledním kroku vás průvodce informuje o tom, že vytvoří komunikační pravidla na základě shromážděných informací. Všechna stávající pravidla budou smazána a nahrazena nově vytvořenými pravidly. Obrázek 6.10 Průvodce komunikačními pravidly dokončení Upozornění: Toto je poslední možnost průvodce stornovat a zachovat stávající komunikační pravidla! Po stisknutí tlačítka Dokončit budou smazána a nahrazena novými. Pravidla vytvořená průvodcem Podívejme se podrobněji na komunikační pravidla, která byla vytvořena průvodcem v předchozím příkladu. ICMP komunikace Toto pravidlo je průvodcem přidáno vždy, bez ohledu na nastavení v jednotlivých krocích. Umožňuje PING (tj. vyslání žádosti o odezvu) z počítače, kde je WinRoute nainstalován. PING je velmi důležitý např. pro ověření funkčnosti internetového připojení. Poznámka: Pravidlo ICMP komunikace nepovoluje PING z počítačů v lokální síti do Internetu. Je-li to požadováno, je třeba přidat službu Ping do pravidla NAT (detaily viz kapitola 6.3). Komunikace modulu ISS OrangeWeb Filter Je-li použit modul ISS OrangeWeb Filter (systém pro klasifikaci obsahu WWW stránek), pak toto pravidlo povoluje komunikaci s příslušnými databázemi. Bude-li tato komunikace blokována, nebude modul ISS OrangeWeb Filter fungovat správně. NAT Toto pravidlo určuje, že ve všech paketech jdoucích z lokální sítě do Internetu bude zdrojová (privátní) IP adresa nahrazována adresou rozhraní připojeného do Internetu (v průvodci krok 3 a krok 6). Přístup bude povolen pouze k vybraným službám (krok 4). 91

92 Kapitola 6 Komunikační pravidla Obrázek 6.11 Komunikační pravidla vytvořená průvodcem Do položky Zdroj je v tomto pravidle zahrnuto také rozhraní Dial-In, tzn. všichni klienti služby RAS připojující se na tento server budou mít povolen přístup do Internetu pomocí technologie NAT. Lokální komunikace Toto pravidlo povoluje veškerou komunikaci počítačů v lokální síti s počítačem, na němž je WinRoute nainstalován. Položky Zdroj a Cíl v tomto pravidle zahrnují všechna rozhraní počítače s WinRoute kromě rozhraní připojeného do Internetu (vybraného v kroku 3). Do položek Zdroj a Cíl je v tomto pravidle zahrnuto také rozhraní Dial-In a speciální skupina Firewall. Pravidlo Lokální komunikace tedy povoluje také komunikaci mezi 92

93 6.1 Průvodce komunikačními pravidly počítači v lokální síti (resp. firewallem) a klienty služby RAS připojujícími se na tento server. Pokud bylo v průvodci požadováno vytvoření pravidel pro Kerio VPN (krok 5), pak pravidlo Lokální komunikace obsahuje také speciální skupinu adres VPN klienti pravidlo povoluje komunikaci mezi lokální sítí (firewallem) a VPN klienty připojujícími se k VPN serveru ve WinRoute. Poznámka: Průvodce předpokládá, že počítač s WinRoute logicky patří do lokální sítě, a přístup k němu nijak neomezuje. Omezení přístupu na tento počítač lze provést úpravou pravidla nebo definicí nového. Je nutné si uvědomit, že nevhodné omezení přístupu k počítači s WinRoute může mít za následek zablokování vzdálené správy či nedostupnost služeb v Internetu (veškerá komunikace do Internetu prochází přes tento počítač). Komunikace firewallu Toto pravidlo povoluje přístup k vybraným službám z počítače, kde je WinRoute nainstalován. Je obdobou pravidla NAT, ale s tím rozdílem, že se zde neprovádí překlad IP adres (tento počítač má přímý přístup do Internetu). Služba FTP a Služba HTTP Tato dvě pravidla zpřístupňují (mapují) služby HTTP a HTTPS běžící na počítači s IP adresou (krok 6). Tyto služby budou z Internetu přístupné na IP adresách vnějšího rozhraní (krok 3). Služba Kerio VPN a Služba HTTPS Pravidlo Služba Kerio VPN povoluje připojení k VPN serveru ve WinRoute z Internetu (navázání řídicího spojení mezi VPN klientem a serverem, resp. vytvoření VPN tunelu podrobnosti viz kapitola 20). Pravidlo Služba HTTPS povoluje připojení z Internetu k rozhraní Clientless SSL-VPN (přístup ke sdíleným prostředkům v síti pomocí WWW prohlížeče podrobnosti viz kapitola 21). Každé z těchto pravidel je vytvořeno pouze v případě, pokud bylo v kroku 5 průvodce komunikačními pravidly požadováno povolení přístupu k příslušné službě. Implicitní pravidlo Toto pravidlo zakazuje veškerou komunikaci, která není povolena jinými pravidly. Implicitní pravidlo je vždy na konci seznamu komunikačních pravidel a nelze jej odstranit. Implicitní pravidlo umožňuje zvolit akci pro nežádoucí komunikaci (Zakázat nebo Zahodit) a zapnout záznam paketů nebo spojení. 93

94 Kapitola 6 Komunikační pravidla Poznámka: Detailní popis jednotlivých částí komunikačního pravidla najdete v kapitole Jak komunikační pravidla fungují? Komunikační pravidla jsou uložena v uspořádaném seznamu. Při aplikaci pravidel je seznam procházen shora dolů a použije se vždy první pravidlo, kterému dané spojení či paket vyhovuje záleží tedy na pořadí pravidel v seznamu. Pořadí pravidel lze upravit šipkovými tlačítky v pravé části okna. Na konci seznamu je vždy umístěno implicitní pravidlo, které zakazuje nebo zahazuje veškerou komunikaci (akce je volitelná). Toto pravidlo nelze odstranit. Komunikace, která není pravidly výslovně povolena, je zakázána. Poznámky: 1. Bez definice komunikačních pravidel (pomocí průvodce či vlastních) existuje ve WinRoute pouze implicitní pravidlo, které blokuje veškerou komunikaci. 2. Pro řízení přístupu uživatelů k WWW a FTP serverům, doporučujeme namísto komunikačních pravidel použít speciální nástroje, které WinRoute k tomuto účelu nabízí viz kapitola Definice vlastních komunikačních pravidel Komunikační pravidla jsou zobrazována ve formě tabulky, kde každý řádek obsahuje jedno pravidlo a ve sloupcích jsou jeho jednotlivé části (jméno, podmínky, akce detaily viz dále). Dvojitým kliknutím levým tlačítkem myši na vybrané pole tabulky (případně kliknutím pravým tlačítkem a volbou Změnit... z kontextového menu) se zobrazí dialog pro změnu vybrané položky. Nové pravidlo přidáme stisknutím tlačítka Přidat a šipkovými tlačítky v pravé části okna jej přesuneme na požadované místo. Jméno Název pravidla. Měl by být stručný a výstižný, aby tabulka pravidel byla přehledná. Detailnější informace by měly být zapsány do položky Popis. Zaškrtávací pole před jménem pravidla slouží k jeho aktivaci a deaktivaci. Není-li toto pole zaškrtnuto, pak se WinRoute chová, jako by pravidlo neexistovalo. Toho lze využít např. pro dočasné vyřazení pravidla není třeba je odstraňovat a později znovu definovat. 94

95 6.3 Definice vlastních komunikačních pravidel Obrázek 6.12 Komunikační pravidlo jméno, barva a popis pravidla Kromě výše uvedeného jména můžete nastavit také barvu pozadí řádku tabulky s tímto pravidlem. Volba Transparentní znamená, že řádek bude průhledný (pod textem bude barva pozadí celého seznamu, typicky bílá). Položka Popis může obsahovat libovolný text popisující význam a účel daného pravidla (maximálně 1024 znaků). Je-li popis uveden, pak se v seznamu pravidel ve sloupci Jméno vedle názvu pravidla zobrazí symbol bubliny s textem. Umístěním kurzoru myši na tento symbol bude zobrazen text popisu pravidla. Doporučujeme důsledně popisovat všechna vytvořená pravidla (v pravidlech vytvořených průvodcem je popis již vyplněn). Ne vždy je totiž na první pohled zřejmé, k jakému účelu konkrétní pravidlo slouží. Dobré popisy pravidel ušetří správci WinRoute mnoho času při pozdějším ladění či hledání problémů. Poznámka: Popis a barevné označení pravidla slouží pouze pro zlepšení přehlednosti nesouvisejí s jeho významem. Zdroj, Cíl Volba zdroje, resp. cíle komunikace, pro niž má pravidlo platit. Tlačítkem Přidat lze definovat novou položku zdroje, resp. cíle komunikace: Počítač jméno nebo IP adresa konkrétního počítače (např. nebo ) Upozornění: Je-li zdrojový nebo cílový počítač zadán DNS jménem, pak WinRoute zjišt uje odpovídající IP adresu v okamžiku stisknutí tlačítka Použít. Pokud není nalezen odpovídající záznam v DNS cache, vysílá se DNS dotaz do Internetu. Je-li internetové připojení realizováno vytáčenou linkou, která je momentálně 95

96 Kapitola 6 Komunikační pravidla Obrázek 6.13 Komunikační pravidlo definice zdrojových adres zavěšena, vyšle se tento dotaz až po vytočení linky. Do zjištění IP adresy z DNS jména je však příslušné pravidlo neaktivní. V krajním případě může dojít k tomu, že po definici pravidla bude linka vytočena na základě komunikace, která má být pravidlem zakázána. Z výše uvedených důvodů doporučujeme v případě vytáčené linky do Internetu zadávat zdrojový a cílový počítač výhradně IP adresami! Rozsah IP adres např Skupinu IP adres skupina adres definovaná ve WinRoute (viz kapitola 12.1) Subsít s maskou subsít zadaná adresou sítě a maskou (např / ) Sít připojenou k rozhraní výběr rozhraní, kterým paket přichází (v položce Zdroj) nebo kudy má být odeslán (v položce Cíl) VPN virtuální privátní sít (vytvořená pomocí VPN řešení ve WinRoute). Volbou VPN můžeme přidat položky následujících typů: 1. Příchozí spojení (VPN klienti) všichni VPN klienti připojující se k VPN serveru ve WinRoute pomocí aplikace Kerio VPN Client, 2. VPN tunel sít připojená vybraným VPN tunelem. Podrobné informace o VPN řešení ve WinRoute naleznete v kapitole

97 6.3 Definice vlastních komunikačních pravidel Obrázek 6.14 Komunikační pravidlo VPN klienti / VPN tunel v definici zdrojových nebo cílových adres Obrázek 6.15 Komunikační pravidlo uživatelé a skupiny v definici zdrojových nebo cílových adres Uživatele uživatelé nebo skupiny uživatelů, které lze vybrat ve speciálním dialogu. Volba Ověření uživatelé znamená, že podmínka bude platit pro všechny uživatele, kteří jsou na firewall již přihlášeni (viz kapitola 8.1). Volbou Uživatelé z domény můžeme přidat požadované uživatele a/nebo skupiny z mapovaných Active Directory domén nebo z lokální databáze uživatelů (podrobnosti viz kapitola 13). TIP: Do pravidla můžeme přidat uživatele/skupiny z několika různých domén zároveň. Vybereme doménu, přidáme uživatele a/nebo skupiny, pak zvolíme jinou do- 97

98 Kapitola 6 Komunikační pravidla ménu a postup opakujeme. V komunikačních pravidlech má uživatel význam IP adresy počítače, z něhož je přihlášen. Podrobnosti o přihlašování uživatelů k firewallu naleznete v kapitole 8.1. Poznámky: 1. Povolení / zákaz přístupu určitým uživatelům má smysl jen tehdy, pokud není z příslušných IP adres povolen přístup nepřihlášeným uživatelům (jinak totiž nejsou uživatelé donuceni se přihlásit). Pokud uživatelé pracují střídavě na různých počítačích, je třeba vzít v úvahu IP adresy všech těchto počítačů. 2. Jsou-li uživatelské účty nebo skupiny použity jako zdroj v pravidle pro přístup do Internetu, pak v případě služby HTTP nebude funkční automatické přesměrování uživatelů na přihlašovací stránku ani NTLM ověřování. K přesměrování totiž dojde až po úspěšném navázání spojení na cílový server. Jsou-li komunikační pravidla nastavena tímto způsobem, pak je třeba uživatelům sdělit, že před přístupem do Internetu musejí otevřít přihlašovací stránku (viz kapitoly 11 a 8.1) ve svém WWW prohlížeči a přihlásit se. Tato problematika je podrobně diskutována v kapitole Firewall speciální skupina adres zahrnující všechna rozhraní počítače, na němž WinRoute běží. Tuto volbu lze s výhodou využít např. pro povolení komunikace mezi lokální sítí a počítačem s WinRoute. Tlačítko Libovolný nahradí všechny definované položky položkou Libovolný (toto je rovněž výchozí hodnota při vytváření nového pravidla). Bude-li pak přidána alespoň jedna nová položka, bude položka Libovolný automaticky odstraněna. Tlačítko Smazat odstraní všechny definované položky (v seznamu položek bude zobrazeno Nic). Bude-li pak přidána alespoň jedna nová položka, bude hodnota Nic automaticky odstraněna. Ponecháme-li ve sloupci Zdroj a/nebo Cíl hodnotu Nic, pak bude pravidlo neaktivní. Hodnota Nic má své opodstatnění při odstraňování sít ových rozhraní (viz kapitola 5.1) a uživatelských účtů nebo skupin (viz kapitola 13). Do položek Zdroj nebo Cíl všech pravidel, ve kterých bylo použito odstraněné rozhraní, (resp. uživatelský účet nebo skupina) bude automaticky dosazena hodnota Nic, čímž budou příslušná pravidla deaktivována. Ruční dosazení hodnoty Nic nemá praktický význam pro deaktivaci pravidla je vhodnější použít zaškrtávací pole ve sloupci Jméno. 98

99 6.3 Definice vlastních komunikačních pravidel Poznámka: Odstraněné rozhraní nelze nahradit položkou Libovolný mohlo by dojít k zásadní změně smyslu komunikačních pravidel (např. povolení nežádoucí komunikace). Služba Definice služby (resp. služeb), pro kterou má toto komunikační pravidlo platit. Seznam může obsahovat více služeb definovaných v sekci Konfigurace Definice Služby (viz kapitola 12.3) a/nebo služeb zadaných protokolem a číslem portu (případně rozsahem portů pro jeho specifikaci se zde používá pomlčka). Obrázek 6.16 Komunikační pravidlo nastavení služby Tlačítko Libovolný nahradí všechny definované položky položkou Libovolný (toto je rovněž výchozí hodnota při vytváření nového pravidla). Bude-li pak přidána alespoň jedna nová služba, bude položka Libovolný automaticky odstraněna. Tlačítko Smazat odstraní všechny definované položky (v seznamu položek bude zobrazeno Nic). Bude-li pak přidána alespoň jedna nová služba, bude hodnota Nic automaticky odstraněna. Ponecháme-li ve sloupci Služba hodnotu Nic, pak bude pravidlo neaktivní. Hodnota Nic má své opodstatnění při odstraňování definovaných služeb (viz kapitola 12.3). Do položky Služba všech pravidel, ve kterých byla použita odstraněná služba, bude automaticky dosazena hodnota Nic, čímž budou příslušná pravidla deaktivována. Ruční dosazení hodnoty Nic nemá praktický význam pro deaktivaci pravidla je vhodnější použít zaškrtávací pole ve sloupci Jméno. Poznámka: Je-li v definici služby použit inspekční modul příslušného protokolu, pak se tento modul na komunikaci na tuto službu automaticky aplikuje. Chceme-li docílit 99

100 Kapitola 6 Komunikační pravidla toho, aby na určitou komunikaci nebyl aplikován příslušný inspekční modul, je třeba to v komunikačním pravidle explicitně uvést. Podrobné informace viz kapitola Akce Způsob, jak WinRoute obslouží komunikaci, která vyhoví podmínkám tohoto pravidla (podmínka je dána položkami Zdroj, Cíl a Služba). Možnosti jsou: Obrázek 6.17 Komunikační pravidlo volba akce Povolit firewall komunikaci propustí Zakázat firewall pošle klientovi (iniciátorovi komunikace) řídicí zprávu, že přístup na danou adresu či port je zakázán. Výhodou tohoto způsobu je okamžitá reakce, klient se však dozví o tom, že je komunikace blokována firewallem. Zahodit firewall bude zahazovat veškeré pakety vyhovující danému pravidlu. Klientovi nebude poslána žádná řídicí zpráva a ten tuto situaci vyhodnotí jako sít ovou chybu. Odezva klienta není v tomto případě okamžitá (klient určitou dobu čeká na odpověd, poté se případně snaží navázat spojení znovu atd.), existence firewallu mu však zůstane skryta. Poznámka: Na základě výše popsaných skutečností doporučujeme při omezování lokálních uživatelů v přístupu na Internet používat volbu Zakázat, při blokování přístupu z Internetu naopak volbu Zahodit. Zaznamenat O komunikaci, která vyhověla tomuto pravidlu, lze provést záznam následujícím způsobem: 100

101 6.3 Definice vlastních komunikačních pravidel Obrázek 6.18 Komunikační pravidlo záznam paketů a/nebo spojení Zaznamenat odpovídající pakety veškeré pakety, které vyhoví tomuto pravidlu (propuštěné, odmítnuté či zahozené v závislosti na typu akce v pravidle) budou zaznamenány do záznamu Filter. Zaznamenat odpovídající spojení všechna spojení vyhovující tomuto pravidlu budou zaznamenána do záznamu Connection (pouze v případě povolujícího pravidla). Jednotlivé pakety v rámci těchto spojení se již nezaznamenávají. Poznámka: U zakazujících a zahazujících pravidel nelze zaznamenávat spojení. Překlad Způsob překladu zdrojové nebo cílové IP adresy (případně obou). Překlad zdrojové adresy (NAT Network Address Translation) se též nazývá maskování IP adresy nebo sdílení internetového připojení. V paketech jdoucích z lokální sítě do Internetu se zdrojová (privátní) IP adresa nahrazuje adresou rozhraní připojeného do Internetu. Celá lokální sít má tak transparentní přístup do Internetu, ale navenek se jeví jako jeden počítač. Překlad zdrojové adresy se definuje následujícím způsobem: Obrázek 6.19 Komunikační pravidlo překlad zdrojové adresy 101

102 Kapitola 6 Komunikační pravidla Nepřekládat zdrojová adresa zůstává nezměněna. Toto je výchozí volba a v komunikačních pravidlech se nezobrazuje (pro přehlednost). Překládat na adresu výstupního rozhraní v tomto případě WinRoute automaticky detekuje výstupní rozhraní podle cílové IP adresy v paketu. Překládat na adresu rozhraní výběr rozhraní, na jehož primární adresu bude zdrojová IP adresa paketu překládána. Tato volba je vhodná všude tam, kde se může výstupní rozhraní měnit (např. více vytáčených linek). Překládat na tuto IP adresu zde lze zadat konkrétní IP adresu, na niž má být zdrojová adresa překládána (např. sekundární adresu rozhraní připojeného do Internetu). Pokud znáte pouze DNS jméno počítače, lze použít tlačítko Převést, které převede DNS jméno na IP adresu. Upozornění: Je třeba uvést IP adresu, která je přiřazena některému rozhraní počítače s WinRoute! Překlad cílové adresy (též mapování portů) slouží ke zpřístupnění služby běžící na počítači v privátní lokální síti zvenčí. Pokud příchozí paket vyhovuje daným podmínkám, je cílová adresa zaměněna a paket směrován na příslušný počítač. Tímto způsobem bude služba přenesena na vnější rozhraní počítače s WinRoute (resp. na IP adresu, z níž je mapována). Z pohledu klienta v Internetu služba běží na IP adrese, ze které je mapována (tzn. obvykle na vnější adrese firewallu). Nastavení překladu cílové adresy (mapování portů): Obrázek 6.20 Komunikační pravidlo překlad cílové adresy Nepřekládat cílová adresa zůstane nezměněna. Překládat na IP adresa, na níž má být cílová adresa paketu změněna. Tato adresa je zároveň adresou počítače, kde daná služba skutečně běží. Do položky Překládat na lze rovněž uvést DNS jméno cílového počítače. V tom případě zjistí WinRoute příslušnou IP adresu DNS dotazem. 102

103 6.3 Definice vlastních komunikačních pravidel Upozornění: Nedoporučujeme zadávat jména počítačů, pro které neexistuje záznam v lokální DNS. Do zjištění odpovídající IP adresy je totiž příslušné pravidlo neaktivní, což může mít za následek dočasnou nefunkčnost mapované služby. Překládat port na při záměně cílové adresy může být zaměněn i port dané služby. Služba tedy může fyzicky běžet na jiném portu, než ze kterého je mapována. Poznámka: Tuto volbu je možné použít jen v případě, je-li v položce Služba komunikačního pravidla uvedena pouze jedna služba a tato služba používá pouze jeden port nebo jeden rozsah portů. Následující dva sloupce jsou ve výchozím nastavení okna Komunikační pravidla skryté: Platí v Časový interval, ve kterém má pravidlo platit. Mimo tento časový interval se WinRoute chová tak, jako by pravidlo neexistovalo. Speciální volba vždy vypíná časové omezení pravidla (v okně Komunikační pravidla se nezobrazuje). Inspekční modul Volba inspekčního modulu, který má být aplikován na komunikaci vyhovující pravidlu. Možnosti jsou následující: Obrázek 6.21 Komunikační pravidlo výběr inspekčního modulu 103

104 Kapitola 6 Komunikační pravidla Výchozí na komunikaci vyhovující tomuto pravidlu budou aplikovány všechny potřebné inspekční moduly, případně inspekční moduly služeb uvedených v položce Služba. Žádný nebude aplikován žádný inspekční modul (bez ohledu na to, jak jsou definovány služby použité v položce Služba). Jiný výběr konkrétního inspekčního modulu, který má být pro komunikaci popsanou tímto pravidlem použit (k dispozici jsou všechny inspekční moduly, které WinRoute obsahuje). Upozornění: Tuto volbu doporučujeme používat, pouze pokud komunikační pravidlo popisuje protokol, pro který je inspekční modul určen. Použití nesprávného inspekčního modulu může způsobit nefunkčnost dané služby. Poznámka: Je-li v definici pravidla použita konkrétní služba (viz položka Služba), doporučujeme v položce Inspekční modul ponechat volbu Výchozí (inspekční modul je již zahrnut v definici služby). 6.4 Základní typy komunikačních pravidel Komunikační pravidla ve WinRoute nabízejí poměrně široké možnosti filtrování sít ového provozu a zpřístupnění služeb. V této kapitole uvedeme příklady komunikačních pravidel řešících standardní situace. Podle těchto příkladů můžete snadno vytvořit sadu pravidel pro vaši konkrétní sít ovou konfiguraci. Překlad IP adres (NAT) Překlad IP adres (též sdílení internetového připojení) znamená záměnu zdrojové (privátní) IP adresy v paketu jdoucím z lokální sítě do Internetu za IP adresu vnějšího rozhraní počítače s WinRoute. Tato technika se používá pro připojení lokální privátní sítě k Internetu prostřednictvím jedné veřejné IP adresy. Příslušné komunikační pravidlo může vypadat následovně: Obrázek 6.22 Typické komunikační pravidlo pro překlad IP adres (sdílení internetového připojení) 104

105 6.4 Základní typy komunikačních pravidel Zdroj Rozhraní, k němuž je připojena lokální privátní sít. Jestliže je lokální sít tvořena více segmenty, z nichž každý je připojen k samostatnému rozhraní, uved te do položky Zdroj všechna tato rozhraní. Je-li lokální sít tvořena kaskádními segmenty (tzn. obsahuje další směrovače), stačí uvést pouze rozhraní, přes které je sít připojena k počítači s WinRoute (není třeba vyjmenovávat všechny subsítě, které lokální sít obsahuje). Cíl Rozhraní připojené do Internetu. Služba Tato položka může být použita ke globálnímu omezení přístupu do Internetu. Budou-li v pravidle pro překlad IP adres uvedeny konkrétní služby, pak bude překlad fungovat pouze pro tyto služby a ostatní služby v Internetu budou z lokální sítě nepřístupné. Akce Musí být nastavena na Povolit (jinak by byla komunikace blokována a překlad adres by již neměl žádný smysl). Překlad V sekci Překlad zdrojové adresy stačí vybrat volbu Překládat na adresu výstupního rozhraní (pro NAT se použije primární IP adresa rozhraní, přes které paket odchází z počítače s WinRoute). Má-li být pro překlad použita jiná IP adresa, použijte volbu Překládat na tuto IP adresu, v níž uvedete požadovanou adresu. Zadaná IP adresa musí být jednou z adres přiřazených výstupnímu rozhraní, jinak nebude překlad IP adres fungovat správně. Upozornění: V sekci Překlad cílové adresy by měla být nastavena volba Nepřekládat, jinak není zaručena zamýšlená funkce pravidla. Kombinace překladu zdrojové i cílové adresy má význam pouze ve speciálních případech. Umístění pravidla Pravidlo pro překlad zdrojových adres musí být umístěno pod všemi pravidly, která omezují přístup z lokální sítě do Internetu. Poznámka: Takto definované pravidlo povoluje přístup do Internetu z počítačů v lokální síti, nikoliv však ze samotného firewallu (tj. počítače, na němž je WinRoute nainstalován)! Komunikace mezi firewallem a Internetem musí být explicitně povolena samostatným pravidlem. Protože počítač s WinRoute má přímý přístup do Internetu, není nutné použít překlad IP adres. 105

106 Kapitola 6 Komunikační pravidla Obrázek 6.23 Pravidlo pro komunikaci firewallu s počítači v Internetu Zpřístupnění služby (mapování portů) Mapování portů zpřístupňuje z Internetu službu na počítači v lokální (zpravidla privátní) síti. Z pohledu klienta v Internetu tato služba běží na vnější (veřejné) IP adrese počítače s WinRoute. Komunikační pravidlo tedy musí být definováno následovně: Obrázek 6.24 Komunikační pravidlo pro zpřístupnění lokálního WWW serveru z Internetu Zdroj Rozhraní připojené do Internetu (přes toto rozhraní budou přicházet požadavky klientů z Internetu). Cíl Počítač s WinRoute, tj. speciální rozhraní Firewall. Takto bude služba přístupná na všech adresách rozhraní připojeného do Internetu. Chcete-li službu zpřístupnit na konkrétní IP adrese, použijte volbu Počítač a zadejte požadovanou IP adresu. Služba Služby, které mají být zpřístupněny. Službu lze vybrat ze seznamu předdefinovaných služeb (viz kapitola 12.3) nebo zadat přímo protokolem a číslem portu. V tomto poli mohou být uvedeny všechny služby, které běží na jednom počítači. Pro zpřístupnění služeb z jiného počítače je třeba vytvořit nové komunikační pravidlo. Akce Musí být nastavena na Povolit (jinak by byla komunikace blokována a mapování portů by nemělo žádný smysl). Překlad V sekci Překlad cílové adresy (mapování portů) zvolte Překládat na tuto IP adresu a uved te IP adresu počítače v lokální síti, kde služba běží. Volbou Překládat port na je možné mapovat službu na jiný port, než na kterém je služba přístupná z Internetu. Upozornění: V sekci Překlad zdrojové adresy musí být nastavena volba Nepřekládat! Kombinace překladu zdrojové i cílové adresy má význam pouze ve speciálních případech. 106

107 6.4 Základní typy komunikačních pravidel Poznámka: Pro správnou funkci mapování portů je nutné, aby počítač, na němž mapovaná služba běží, měl nastavenu výchozí bránu na počítač s WinRoute. Bez splnění této podmínky nebude mapování fungovat. Umístění pravidla Pravidla pro mapování služeb jsou ve většině případů nezávislá na pravidlech pro překlad adres či omezení přístupu do Internetu i na sobě navzájem. Pro větší přehlednost doporučujeme umist ovat všechna tato pravidla bud na začátek, nebo na konec seznamu. Existují-li samostatná pravidla omezující přístup k mapovaným službám, musí být vlastní pravidla pro mapování umístěna pod omezujícími pravidly (zpravidla však lze mapování služby a omezení přístupu zkombinovat do jediného pravidla). Zpřístupnění služeb na různých IP adresách (multihoming) Multihoming je označení pro situaci, kdy má sít ové rozhraní připojené do Internetu přiřazeno více veřejných IP adres. Typickým požadavkem je, aby na těchto adresách byly nezávisle zpřístupněny různé služby. Příklad: V lokální síti běží WWW server web1 na počítači s IP adresou a WWW server web2 s IP adresou Rozhraní připojené do Internetu má přiřazeny veřejné IP adresy a Server web1 má být z Internetu dostupný na IP adrese , server web2 na IP adrese Pro splnění těchto požadavků definujeme ve WinRoute dvě komunikační pravidla: Obrázek 6.25 Multihoming mapování WWW serverů Zdroj Rozhraní připojené do Internetu (přes toto rozhraní budou přicházet požadavky klientů z Internetu). Cíl Příslušná IP adresa rozhraní připojeného do Internetu (pro zadání jedné IP adresy slouží volba Počítač). 107

108 Kapitola 6 Komunikační pravidla Služba Služba, která má být zpřístupněna (v případě WWW serveru služba HTTP). Akce Musí být nastavena na Povolit (jinak by byla komunikace blokována a mapování portů by nemělo žádný smysl). Překlad V sekci Překlad cílové adresy (mapování portů) zvolíme Překládat na tuto IP adresu a zadáme IP adresu odpovídajícího WWW serveru (web1, resp. web2). Omezení přístupu do Internetu Velmi častým požadavkem je omezit přístup uživatelů z lokální sítě ke službám v Internetu. Omezení lze provést několika způsoby. V níže uvedených příkladech omezení zajišt uje přímo pravidlo pro překlad IP adres, a to specifikací podmínky, kdy má být překlad prováděn. Není třeba definovat žádné další pravidlo implicitní pravidlo bude blokovat veškerou komunikaci, která těmto podmínkám nevyhoví. Další způsoby omezování přístupu budou zmíněny v sekci Výjimky (viz níže). Poznámka: Pravidla uvedená v těchto příkladech mohou být také použita, jestliže je WinRoute nasazen jako tzv. neutrální směrovač (tj. směrovač bez překladu IP adres) pouze v položce Překlad nebude žádný překlad definován. 1. Povolení přístupu pouze k vybraným službám. V pravidle pro překlad IP adres uvedeme v položce Služba pouze služby, které mají být povoleny. Obrázek 6.26 Sdílení internetového připojení povolení přístupu pouze k vybraným službám 2. Omezení dle IP adres. Přístup k určitým službám (případně kompletní přístup do Internetu) bude povolen pouze z vybraných počítačů. V položce Zdroj definovaného pravidla uvedeme skupinu IP adres, ze kterých bude přístup do Internetu povolen. Tuto skupinu je třeba nejprve definovat v sekci Konfigurace Definice Skupiny (viz kapitola 13.5). 108

109 6.4 Základní typy komunikačních pravidel Obrázek 6.27 Povolení přístupu do Internetu pouze pro vybranou skupinu IP adres Poznámka: Definice pravidel tohoto typu je vhodná pouze v případě, že každý uživatel má svůj vlastní počítač (uživatelé se u počítačů nestřídají) a tyto počítače mají přiřazeny statické IP adresy. 3. Omezení dle uživatelů. V tomto případě firewall kontroluje, zda z počítače, odkud komunikace přichází, je přihlášen určitý uživatel. Podle toho komunikaci povolí či zakáže. Obrázek 6.28 Povolení přístupu do Internetu pouze vybrané skupině uživatelů Nejjednodušší variantou tohoto omezení je pravidlo povolující přístup do Internetu pouze přihlášeným uživatelům. Internet tak bude dostupný všem uživatelům, kteří mají ve WinRoute uživatelský účet. Správce firewallu pak má detailní přehled o tom, kam kteří uživatelé přistupují a jaké služby využívají (anonymní přístup není možný). Obrázek 6.29 Povolení přístupu do Internetu pouze ověřeným uživatelům Podrobné informace o přihlašování uživatelů k firewallu naleznete v kapitole 8.1. Poznámky: 1. Výše uvedená pravidla lze různým způsobem kombinovat např. povolit skupině uživatelů přístup do Internetu pouze k vybraným službám. 2. Použití uživatelských účtů a skupin uživatelů v komunikačních pravidlech má určitá specifika. Touto problematikou se podrobně zabývá kapitola Výjimky Při omezování přístupu do Internetu může vzniknout požadavek, aby k určité službě byl povolen přístup pouze vybrané skupině uživatelů či IP adres. Všem ostatním uživatelům (resp. ze všech ostatních IP adres) má být přístup k této službě zakázán. 109

110 Kapitola 6 Komunikační pravidla Jako příklad uvedeme povolení přístupu na servery v Internetu pomocí služby Telnet skupině uživatelů. Pro splnění tohoto požadavku definujeme dvě pravidla: První pravidlo povolí službu Telnet vybrané skupině uživatelů (resp. skupině IP adres apod.). Druhé pravidlo zakáže přístup k této službě všem ostatním uživatelům. Obrázek 6.30 Výjimka povolení služby Telnet pouze vybrané skupině uživatelů 110

111 Kapitola 7 Omezování šířky pásma Velmi častým problémem sdíleného internetového připojení je situace, kdy jeden uživatel (případně několik uživatelů současně) stahuje nebo odesílá velký objem dat, čímž zcela vyčerpá kapacitu internetové linky (tzv. šířku pásma). Ostatní uživatelé pak zaznamenají výrazné zpomalení internetové komunikace, v krajním případě i výpadky některých služeb (pokud např. dojde k překročení maximální doby odezvy). Typicky největší problém nastává v případě, kdy jsou v důsledku přetížení linky omezeny nebo blokovány sít ové služby např. poštovní server, WWW server nebo internetová telefonie (VoIP). Jeden uživatel může stahováním nebo odesíláním svých dat ohrozit funkčnost celé sítě. Modul Omezování šířky pásma ve WinRoute nabízí řešení nejčastějších problémů s přetížením sdílené internetové linky. Tento modul dokáže rozpoznat spojení, kterými se přenáší velké objemy dat, a vyhradit pro ně určitou část kapacity linky. Zbývající kapacita zůstává volná pro ostatní komunikaci (kde se nepřenáší velké objemy dat, ale může zde být důležitá např. doba odezvy). 7.1 Jak funguje a jak lze využít omezování šířky pásma? Modul Omezování šířky pásma má dvě základní funkce: Omezení rychlosti přenosů velkých objemů dat WinRoute sleduje všechna spojení navázaná mezi lokální sítí a Internetem. Pokud spojení vyhodnotí jako přenos objemných dat, omezí rychlost přenosu dat na nastavenou hodnotu, aby toto spojení neblokovalo ostatní komunikaci. Na lokální komunikaci se omezování šířky pásma neaplikuje. Poznámka: Omezování šířky pásma je nezávislé na komunikačních pravidlech. Omezení rychlosti komunikace uživatelů s překročenou kvótou O uživatelích, kteří překročili nastavenou kvótu objemu dat, lze předpokládat, že pravidelně stahují nebo odesílají velké množství dat. WinRoute umožňuje omezit těmto uživatelům rychlost přenosu dat, aby svou aktivitou neomezovali (resp. neblokovali) komunikaci ostatních uživatelů a sít ových služeb. Na konkrétního uživatele je omezení aplikováno automaticky při překročení některého z nastavených limitů (viz kapitola 13.1). 111

112 Kapitola 7 Omezování šířky pásma 7.2 Konfigurace omezování šířky pásma Parametry modulu Omezování šířky pásma lze nastavit v sekci Konfigurace Omezování šířky pásma. Obrázek 7.1 Konfigurace modulu Omezování šířky pásma Modul Omezování šířky pásma umožňuje nastavit omezení rychlosti příchozích dat (tj. z Internetu do lokální sítě) a odchozích dat (tj. z lokální sítě do Internetu) pro přenosy velkých objemů dat a pro uživatele, kteří překročili svou kvótu objemu přenesených dat. Jednotlivé limity jsou nezávislé, takže lze např. omezit pouze rychlost příchozích dat pro přenosy velkých souborů. Upozornění: V modulu Omezování šířky pásma se všechny rychlosti se nastavují v kilobytech za sekundu (KB/s). Naproti tomu poskytovatelé internetového připojení zpravidla uvádějí kapacity linek v kilobitech za sekundu (kbps, kbit/s nebo kb/s), případně v megabitech za sekundu (Mbps, Mbit/s nebo Mb/s). Platí převodní vztah 1 KB/s = 8 kbit/s. Příklad: Linka 256 kbit/s má rychlost 32 KB/s, linka 1 Mbit/s má rychlost 128 KB/s. Nastavení omezení V horní části okna lze nastavit omezení pro přenosy velkých objemů dat. Hodnoty v těchto položkách určují, jaké pásmo bude vyhrazeno pro tyto přenosy. Zbývající pásmo bude stále k dispozici pro ostatní komunikaci. Testováním bylo zjištěno, že optimálního využití kapacity internetové linky se dosáhne při nastavení hodnot blízkých parametrům připojení (cca 90%). Při nastavení vyšších 112

113 7.2 Konfigurace omezování šířky pásma hodnot je omezování šířky pásma neúčinné (při přenosech velkých objemů dat nezbude dostatek pásma pro ostatní služby), naopak při nastavení nižších hodnot nebude ve většině případů možné využít plnou kapacitu linky. Upozornění: Pro nastavení optimálních hodnot je třeba uvažovat skutečnou kapacitu linky zpravidla se nelze spoléhat na údaje, které uvádí poskytovatel internetového připojení. Jednou z možností, jak zjistit skutečnou kapacitu linky, je sledování grafu zatížení internetového rozhraní (viz kapitola 18.4) při velké zátěži, kdy je pravděpodobné, že je linka plně využita. V dolní části okna lze nastavit omezení rychlosti příchozích a odchozích dat pro uživatele, kteří překročili svou kvótu objemu přenesených dat. Nastavené pásmo sdílí všichni uživatelé s překročenou kvótou. To znamená, že celková komunikace všech těchto uživatelů může zabrat nejvýše zde nastavenou šířku pásma. Pro omezení uživatelů s překročenou kvótou objemu přenesených dat neexistují žádné optimální hodnoty. Záleží na uvážení správce WinRoute, jakou část pásma těmto uživatelům umožní využít. Doporučujeme nastavit takové hodnoty, aby uživatelé s překročenou kvótou svou aktivitou neomezovali ostatní uživatele a služby. Poznámka: Konkrétnímu uživateli lze v případě překročení kvóty zcela zablokovat další komunikaci. Výše popsaná omezení budou aplikována pouze v případě, pokud je v příslušném uživatelském účtu nastaveno Neblokovat komunikaci (pouze omezit rychlost...). Podrobnosti viz kapitola Upřesňující nastavení Tlačítkem Upřesnění se otevírá dialog pro nastavení upřesňujících parametrů modulu Omezování šířky pásma. Tyto parametry se vztahují pouze na omezování přenosů velkých objemů dat, nemají vliv na omezování uživatelů s překročenou kvótou objemu přenesených dat (na tyto uživatele je omezení aplikováno vždy a na veškerou jejich komunikaci). Specifikace služeb Některé služby mohou vykazovat charakteristiky přenosů objemných dat, přestože tomu tak ve skutečnosti není. Typickým příkladem je internetová telefonie (Voice over IP VoIP). Pro takové služby je možné definovat výjimky, aby na ně nebylo aplikováno omezení šířky pásma. Naopak může také vzniknout požadavek aplikovat omezení šířky pásma pouze na určité sít ové služby (např. chceme omezit přenos souborů protokoly FTP a HTTP). V záložce Služby můžeme definovat, na které služby má být omezení šířky pásma aplikováno: 113

114 Kapitola 7 Omezování šířky pásma Obrázek 7.2 Omezování šířky pásma sít ové služby Všechny služby omezení bude aplikováno na veškerou komunikaci mezi lokální sítí a Internetem. Vybrané služby omezení bude aplikováno pouze na vybrané sít ové služby. Komunikace ostatních služeb nebude omezována. Všechny služby kromě vybraných komunikace vybraných služeb nebude omezována. Na všechny ostatní služby bude omezení aplikováno. Tlačítko Vybrat služby otevírá dialog pro výběr sít ových služeb. Přidržením klávesy Ctrl nebo Shift lze označit více služeb najednou. K dispozici jsou všechny sít ové služby definované v sekci Konfigurace Definice Služby (viz kapitola 12.3). IP adresy a časový interval Častým požadavkem je aplikovat omezení šířky pásma pouze na některé počítače (např. nechceme omezovat poštovní server v lokální síti či komunikaci s firemním WWW serverem v Internetu). Skupina IP adres pro toto omezení může obsahovat libovolné IP adresy v lokální síti nebo v Internetu. Pokud mají pracovní stanice uživatelů pevné IP adresy, můžeme tímto způsobem aplikovat omezení i na jednotlivé uživatele. Omezení šířky pásma může být rovněž aplikováno jen v určitém časovém intervalu (např. v pracovní době). Tyto podmínky lze nastavit v záložce Omezení. 114

115 7.2 Konfigurace omezování šířky pásma Obrázek 7.3 Omezování šířky pásma výběr sít ových služeb Obrázek 7.4 Omezování šířky pásma skupina IP adres a časový interval 115

116 Kapitola 7 Omezování šířky pásma V horní části záložky Omezení lze vybrat způsob, jakým bude omezení dle IP adres aplikováno, a skupinu IP adres: Na veškerou komunikaci skupina IP adres je irelevantní, pole pro výběr skupiny je neaktivní. Pouze na vybranou skupinu IP adres omezení bude aplikováno pouze v případě, pokud IP adresa některého konce spojení patří do vybrané skupiny. Ostatní komunikace nebude omezena. Na veškerou komunikaci kromě vybrané skupiny IP adres omezení nebude aplikováno v případě, pokud IP adresa některého konce spojení patří do vybrané skupiny. Ostatní komunikace bude omezena. V dolní části záložky Omezení lze povolit aplikaci časového intervalu. Šířka pásma pak bude omezována pouze v čase určeném vybraným intervalem. Nastavení parametrů detekce přenosu velkého objemu dat V záložce Upřesnění lze nastavit parametry detekce přenosu velkého objemu dat minimální objem přenesených dat a mezní dobu nečinnosti (délku prodlevy). Výchozí hodnoty (200 KB a 5 sec) jsou optimalizovány na základě dlouhodobého testování v reálném provozu. Důrazně upozorňujeme, že experimenty s těmito hodnotami povedou ve většině případů k výraznému zhoršení funkčnosti modulu Omezování šířky pásma. S výjimkou speciálních případů (testování) striktně doporučujeme neměnit výchozí hodnoty! Obrázek 7.5 Omezování šířky pásma nastavení detekce přenosu velkého objemu dat Podrobný popis principu detekce přenosů velkých objemů dat je uveden v kapitole Detekce spojení přenášejících velký objem dat V této kapitole uvádíme popis způsobu, jakým modul Omezování šířky pásma detekuje spojení přenášející velké objemy dat. Tento popis slouží pouze jako doplňující informace pro použití modulu Omezování šířky pásma není znalost principu detekce nutná. 116

117 7.3 Detekce spojení přenášejících velký objem dat Sít ová komunikace každé služby má specifický průběh. Např. WWW prohlížeč typicky při přístupu na stránku otevře jedno nebo více spojení, přenese jimi určité množství dat (jednotlivé objekty na stránce) a tato spojení uzavře. Terminálové služby (např. Telnet, SSH apod.) mají obvykle otevřené spojení, kterým se přenáší malé množství dat s velkými prodlevami. Pro přenos velkých souborů je typický kontinuální tok dat s minimálními prodlevami. U každého spojení se vyhodnocují dva parametry: objem přenesených dat a délka největší prodlevy. Pokud je spojením přenesen stanovený objem dat, aniž by nastala prodleva o stanovené minimální délce, je toto spojení považováno za přenos velkého objemu dat a budou na něj aplikována příslušná omezení. Je-li zaznamenána prodleva delší než stanovená hodnota, pak se vynuluje čítač objemu přenesených dat a počínaje dalším blokem dat probíhá další vyhodnocování výše popsaným způsobem. Z toho vyplývá, že za přenos velkého objemu dat je považováno každé takové spojení, které kdykoliv vykáže uvedené charakteristiky. Mezní hodnota objemu přenesených dat a minimální prodleva jsou konfigurační parametry modulu Omezování šířky pásma (viz kapitola 7.2). Příklady Pro snazší pochopení principu detekce spojení přenášejících velký objem dat uvádíme několik typických příkladů. Předpokládejme výchozí nastavení parametrů detekce: spojením musí být přeneseno alespoň 200 KB dat, aniž by nastala prodleva alespoň 5 sec. 1. Spojení na obrázku 7.6 je po přenesení třetího bloku dat považováno za přenos velkého souboru. V tomto okamžiku je spojením přeneseno 200 KB dat a nejdelší zaznamenaná prodleva je pouze 3 sec. Obrázek 7.6 Příklad spojení krátké prodlevy 2. Spojení na obrázku 7.7 není považováno za přenos velkého souboru, protože po přenesení 150 KB dat nastala prodleva 5 sec a pak již tímto spojením bylo přeneseno pouze 150 KB dat. Obrázek 7.7 Příklad spojení dlouhá prodleva 117

118 Kapitola 7 Omezování šířky pásma 3. Spojením na obrázku 7.8 je přeneseno 100 KB dat, načež nastává prodleva 6 sec. Čítač objemu přenesených dat se tedy nuluje. Dále jsou přeneseny tři bloky dat o velikosti 100 KB. Po přenesení třetího bloku dat je zaznamenáno 200 KB přenesených dat (od poslední dlouhé prodlevy). Protože mezi druhým a třetím blokem je prodleva pouze 3 sec, je spojení po přenesení třetího bloku dat vyhodnoceno jako přenos velkého souboru. Obrázek 7.8 Příklad spojení dlouhá prodleva na začátku 118

119 Kapitola 8 Ověřování uživatelů WinRoute umožňuje kontrolu přístupu (filtrování paketů/spojení, WWW stránek a FTP objektů a příkazů) také na základě uživatelů a/nebo skupin. Uživatelské jméno ve filtrovacím pravidle má význam IP adresy počítače, z něhož je tento uživatel přihlášen (resp. všech počítačů, z nichž je v daném okamžiku přihlášen). Analogicky skupina uživatelů má význam IP adres všech počítačů, ze kterých jsou právě přihlášeni členové této skupiny. Kromě omezování přístupu lze přihlašování uživatelů využít také pro sledování jejich aktivit v záznamech (viz kapitola 19), přehledu otevřených spojení (viz kapitola 17.2) a přehledu počítačů a uživatelů (viz kapitola 17.1). Není-li z určitého počítače přihlášen žádný uživatel, objeví se v záznamech a přehledech pouze IP adresa tohoto počítače. 8.1 Ověřování uživatelů na firewallu Ověřit na firewallu se může každý uživatel, který má ve WinRoute vytvořen uživatelský účet (bez ohledu na přístupová práva). Uživatel se může k firewallu přihlásit těmito způsoby: ručně ve svém prohlížeči otevře přihlašovací stránku WWW rozhraní (jméno serveru a číslo portu jsou pouze ilustrativní viz kapitola 11). přesměrováním při přístupu na WWW stránky (pokud není na konkrétní stránku explicitně povolen přístup nepřihlášeným uživatelům viz kapitola 9.1). prostřednictvím NTLM je-li použit prohlížeč Microsoft Internet Explorer nebo Netscape/Mozilla/Firefox/SeaMonkey a uživatel se ověřuje ve Windows NT nebo Active Directory doméně, pak může být ověřen zcela automaticky (přihlašovací stránka se vůbec nezobrazí). Podrobnosti viz kapitola automaticky každému uživateli mohou být přiřazeny IP adresy počítačů, ze kterých bude automaticky ověřován. V praxi to znamená, že při zachycení komunikace z příslušného počítače WinRoute předpokládá, že na něm pracuje odpovídající uživatel, a považuje jej za přihlášeného z této IP adresy. Uživatel se samozřejmě může přihlásit i z jiných počítačů (některou z výše uvedených metod). 119

120 Kapitola 8 Ověřování uživatelů IP adresy pro automatické ověřování lze nastavit v definici uživatelského účtu (viz kapitola 13.1). Poznámka: Tento způsob ověřování není vhodný pro případy, kdy na jednom počítači pracují střídavě různí uživatelé (mohlo by snadno dojít ke zneužití identity automaticky přihlášeného uživatele). Přihlášení přesměrováním probíhá následovně: uživatel zadá do prohlížeče adresu stránky, kterou chce navštívit. WinRoute zjistí, že uživatel dosud není přihlášen, a automaticky jej přesměruje na přihlašovací stránku. Po úspěšném přihlášení je uživatel ihned přesměrován na požadovanou stránku nebo se zobrazí stránka s informací, že na tuto stránku má přístup zakázán. Poznámka: Uživatelé budou přesměrováváni na zabezpečené nebo nezabezpečené WWW rozhraní, podle toho, která verze WWW rozhraní je povolena (viz kapitola 11.1). Jsou-li povoleny obě verze, bude použito zabezpečené WWW rozhraní. Upřesňující parametry pro ověřování uživatelů V sekci Uživatelé a skupiny Uživatelé, záložka Volby pro ověřování, lze nastavit parametry pro přihlašování a odhlašování uživatelů na/z firewall. Obrázek 8.1 Volby pro ověřování uživatelů na firewallu 120

121 8.1 Ověřování uživatelů na firewallu Přesměrování na přihlašovací stránku Po zapnutí volby Při přístupu na WWW stránky vždy vyžadovat... bude vyžadováno ověření uživatele při přístupu na libovolnou WWW stránku, tzn. není-li uživatel dosud přihlášen, bude automaticky přesměrován na přihlašovací stránku (viz kapitola 11.2) a po úspěšném přihlášení na požadovanou stránku. Bude-li tato volba vypnuta, pak bude ověření uživatele vyžadováno pouze při přístupu na WWW stránky, na které není pravidly pro URL povolen přístup nepřihlášeným uživatelům (viz kapitola 9.1). Poznámka: Ověření uživatele má význam nejen pro řízení přístupu na WWW stránky (případně k dalším službám), ale také pro sledování aktivit jednotlivých uživatelů využívání Internetu není anonymní. Automatické ověřování (NTLM) Je-li zapnuta volba Povolit WWW prohlížečům..., pak při použití prohlížeče Microsoft Internet Explorer (verze 5.01 a vyšší) nebo Netscape/Mozilla/Firefox/SeaMonkey (verze jádra 1.3 a vyšší), pak může být uživatel ověřován na firewallu automaticky (metodou NTLM). Podrobnosti naleznete v kapitole Automatické odhlášení uživatele při nečinnosti V položce Časový limit lze nastavit dobu (v minutách), po níž dojde k automatickému odhlášení uživatele od firewallu, jestliže z jeho počítače není zaznamenána žádná komunikace. Výchozí hodnota je 120 minut (2 hodiny). Tato situace nastává zpravidla v případech, kdy se uživatel zapomene od firewallu odhlásit, a proto nedoporučujeme tuto volbu vypínat mohlo by totiž dojít k tomu, že získaná přístupová práva budou zneužita jiným uživatelem (přičemž bude ve všech záznamech figurovat jméno uživatele, který se zapomněl odhlásit). 121

122 Kapitola 9 Filtrování protokolů HTTP a FTP WinRoute poskytuje velmi rozsáhlé možnosti filtrování komunikace protokoly HTTP a FTP. Tyto protokoly patří k nejrozšířenějším a nejpoužívanějším protokolům v Internetu. Mezi hlavní důvody filtrování obsahu HTTP a FTP patří: zamezit uživatelům v přístupu na nevhodné WWW stránky (např. stránky, které nesouvisejí s pracovní náplní zaměstnanců firmy) zamezit přenosu určitých typů souborů (např. nelegální obsah) zabránit či omezit šíření virů, červů a trojských koní Podívejme se podrobněji na možnosti filtrování, které WinRoute nabízí. Jejich podrobný popis najdete v následujících kapitolách. Protokol HTTP filtrování WWW stránek: omezování přístupu podle URL (resp. podřetězce obsaženého v URL) blokování určitých prvků HTML (např. skripty, objekty ActiveX apod.) filtrování na základě ohodnocení modulem ISS OrangeWeb Filter (celosvětová databáze klasifikací WWW stránek) omezování přístupu na stránky obsahující určitá slova antivirová kontrola stahovaných objektů Protokol FTP kontrola přístupu na FTP servery: úplný zákaz přístupu na zadané FTP servery omezení podle jména souboru omezení přenosu souborů na jeden směr (např. pouze download) blokování určitých příkazů protokolu FTP antivirová kontrola přenášených souborů 122

123 9.1 Pravidla pro URL Kdy filtrování obsahu funguje? Pro činnost výše popsaného filtrování obsahu musí být splněny tyto základní podmínky: 1. Komunikace musí být obsluhována příslušným inspekčním modulem. Potřebný inspekční modul je aktivován automaticky, pokud není komunikačními pravidly explicitně určeno, že nemá být pro danou komunikaci použit. Podrobnosti najdete v kapitole Spojení nesmí být šifrováno. Komunikaci zabezpečenou SSL (tj. protokoly HTTPS a FTPS) není možné sledovat. V tomto případě lze pouze blokovat přístup na konkrétní servery komunikačními pravidly (viz kapitola 6.3). Při použití proxy serveru (viz kapitola 5.5) je možné filtrovat také HTTPS servery (příklad: Jednotlivé objekty na těchto serverech však již filtrovat nelze. 3. Protokol FTP nelze filtrovat při použití zabezpečeného přihlášení (SASO). Poznámka: WinRoute nabízí pouze nástroje pro filtrování a omezování přístupu. Rozhodnutí, jaké WWW stránky a typy souborů mají být blokovány, musí učinit správce WinRoute (případně jiná kompetentní osoba). 9.1 Pravidla pro URL Pravidla pro URL umožňují řídit přístup uživatelů k WWW stránkám, jejichž URL vyhovují určitým kritériím. Doplňkovými funkcemi je filtrování stránek dle výskytu zakázaných slov, specifické blokování prvků WWW stránek (skripty, aktivní objekty atd.) a možnost vypnutí antivirové kontroly pro určité stránky. K definici pravidel pro URL slouží stejnojmenná záložka v sekci Konfigurace Filtrování obsahu Pravidla pro HTTP. Obrázek 9.1 Pravidla pro URL 123

124 Kapitola 9 Filtrování protokolů HTTP a FTP Pravidla v této sekci jsou vždy procházena shora dolů (pořadí lze upravit tlačítky se šipkami na pravé straně okna). Vyhodnocování se zastaví na prvním pravidle, kterému dané URL vyhoví. Pokud URL nevyhoví žádnému pravidlu, je přístup na stránku povolen (implicitně vše povoleno). Poznámka: Přístup k URL, pro které neexistuje odpovídající pravidlo, je povolen všem přihlášeným uživatelům (implicitně vše povoleno). Chceme-li povolit přístup pouze k omezené skupině stránek a všechny ostatní stránky blokovat, je třeba na konec seznamu umístit pravidlo zakazující přístup k libovolnému URL. V záložce Pravidla pro URL mohou být zobrazeny tyto sloupce: Popis textový popis pravidla (pro zvýšení přehlednosti). Zaškrtávací pole vlevo od popisu pravidla umožňuje pravidlo zapnout a vypnout (např. v případě, kdy má být pravidlo dočasně vyřazeno). Akce akce, která bude provedena při splnění podmínek tohoto pravidla (Povolit povolit přístup na stránku, Zakázat zakázat přístup na stránku a zobrazit informaci o zákazu, Zahodit zakázat přístup na stránku a zobrazit prázdnou stránku, Přesměrovat přesměrovat na stránku uvedenou v pravidle). Podmínka podmínka, za které pravidlo platí (URL vyhovuje určitým kritériím, stránka je klasifikována modulem ISS OrangeWeb Filter do určité kategorie atd.). Vlastnosti upřesňující volby v pravidle (např. antivirová kontrola, filtrování zakázaných slov atd.). Následující sloupce jsou ve výchozím nastavení skryty. Zobrazit je lze pomocí funkce Nastavit sloupce v kontextovém menu podrobnosti viz kapitola 3.2. Skupina IP adres skupina IP adres, pro kterou pravidlo platí. Jedná se o IP adresy klientů (tj. pracovních stanic uživatelů, kteří přes WinRoute přistupují k WWW stránkám). Časová platnost časový interval, ve kterém pravidlo platí. Seznam uživatelů výčet uživatelů a skupin uživatelů, na které se pravidlo vztahuje. Poznámka: Výchozí instalace WinRoute obsahuje několik předdefinovaných pravidel pro URL. Tato pravidla jsou ve výchozím nastavení vypnuta. Správce WinRoute je může použít, případně upravit dle vlastního uvážení. 124

125 9.1 Pravidla pro URL Definice pravidel pro URL Chceme-li přidat nové pravidlo, označíme v tabulce pravidlo, pod které má být nové pravidlo vloženo, a stiskneme tlačítko Přidat. Šipkovými tlačítky na pravé straně okna lze pořadí pravidel dodatečně upravit. Dialog pro definici nového pravidla: Obrázek 9.2 Pravidlo pro URL základní parametry 125

126 Kapitola 9 Filtrování protokolů HTTP a FTP Záložka Obecné slouží k nastavení základních podmínek pravidla a akcí, které mají být při splnění těchto podmínek provedeny. Popis Slovní popis funkce pravidla (pro snazší orientaci správce WinRoute). Jestliže k tomuto URL přistupuje Volba, pro které uživatele bude toto pravidlo platit: libovolný uživatel pro všechny uživatele přihlášené k firewallu. Zapnutím volby nevyžadovat ověření bude pravidlo platit také pro uživatele, kteří nejsou k firewallu přihlášeni (anonymní uživatele). Poznámky: 1. Velmi častým požadavkem je, aby firewall vyžadoval ověření uživatelů při přístupu na libovolnou WWW stránku. Toho lze docílit globálním nastavením v sekci Uživatelé, záložka Volby pro ověřování (viz kapitola 13.1). S použitím volby nevyžadovat ověření můžeme pak např. definovat pravidlo povolující přístup na určité stránky bez přihlášení. 2. Není-li ověření uživatelů vyžadováno, pak nemá volba nevyžadovat ověření v pravidlech pro URL žádný účinek. vybraní uživatelé pro vybrané uživatele a/nebo skupiny uživatelů. Tlačítko Nastavit otevírá dialog pro výběr uživatelů a skupin (přidržením kláves Ctrl a Shift můžete vybrat více uživatelů / skupin současně). Poznámka: Jméno uživatele má v pravidle význam IP adresy počítače, ze kterého je uživatel v daném okamžiku přihlášen k firewallu (podrobnosti viz kapitola 8.1). A URL vyhovuje těmto kritériím Specifikace URL (resp. množiny URL), pro které má toto pravidlo platit: začíná v této položce může být uvedeno kompletní URL (např. podřetězec URL s použitím hvězdičkové konvence (např. *.ker?o.cz*) nebo jméno serveru (např. Jméno serveru má význam libovolného URL na daném serveru ( patří do skupiny URL výběr skupiny URL (viz kapitola 12.4), které má URL vyhovovat je kategorizováno modulem ISS OrangeWeb Filter pravidlo bude platit pro všechny stránky, které modul ISS OrangeWeb Filter zařadí do některé z vybraných kategorií. Tlačítko Vybrat hodnocení... otevírá dialog pro výběr kategorií modulu ISS OrangeWeb Filter. Podrobnější informace naleznete v kapitole 9.3. libovolné URL, ve kterém je server zadán IP adresou takto musí být zadáno 126

127 9.1 Pravidla pro URL URL stránky či souboru na WWW serveru, který nemá záznam v DNS. Toto je charakteristické např. pro servery nabízející ke stažení soubory s nelegálním obsahem. Upozornění: Není-li zakázán přístup na servery zadané IP adresou, mohou takto uživatelé obcházet pravidla pro URL, ve kterých jsou servery uváděny jménem! Akce Volba akce, která bude provedena, jestliže jsou splněny podmínky pro uživatele a URL: Povolit přístup na stránku Zakázat přístup na stránku požadovaná stránka bude blokována. Uživateli se zobrazí bud stránka s informací o zákazu, prázdná stránka nebo bude přesměrován na jinou stránku (dle nastavení v záložce Upřesnění viz dále). Zaškrtnutím volby Zaznamenat budou všechny přístupy na stránky, které vyhověly tomuto pravidlu, zaznamenávány do záznamu Filter (viz kapitola 19.9). V záložce Upřesnění obsahuje další podmínky, za kterých má pravidlo platit, a volby pro zakázané stránky. Platí v časovém intervalu Výběr časového intervalu platnosti pravidla (mimo tento interval je pravidlo neaktivní). Tlačítko Změnit otevírá dialog pro úpravu časových intervalů (podrobnosti viz kapitola 12.2). Platí pro skupinu IP adres Výběr skupiny IP adres, pro kterou bude toto pravidlo platit (jedná se o zdrojové IP adresy, tedy adresy klientů). Speciální volba Libovolná znamená, že pravidlo nebude závislé na IP adrese klienta. Tlačítko Změnit otevírá dialog pro úpravu skupin IP adres (podrobnosti viz kapitola 12.1). Platí pro MIME typ Omezení platnosti pravidla pouze na objekty určitého MIME typu (např.: text/html HTML dokumenty, image/jpeg obrázky typu JPEG apod.). V této položce můžete vybrat některý z předdefinovaných MIME typů nebo zadat vlastní. Při definici MIME typu lze použít hvězdičku pro specifikaci libovolného subtypu (např. image/*). Samotná hvězdička znamená libovolný MIME typ pravidlo bude nezávislé na MIME typu objektu. Volby pro zákaz Upřesňující nastavení pro zakázané stránky. Jestliže se uživatel pokusí otevřít stránku, na kterou je tímto pravidlem zakázán přístup, pak WinRoute místo této stránky zobrazí: 127

128 Kapitola 9 Filtrování protokolů HTTP a FTP Obrázek 9.3 Pravidlo pro URL upřesňující parametry stránku s informací o zakázaném přístupu uživatel se dozví, že požadovaná stránka je blokována firewallem. Tato stránka může být doplněna vysvětlením zákazu (položka Text zákazu). Bude-li zaškrtnuta volba Uživatelé mohou toto pravidlo odemknout, pak se přihlášeným uživatelům na stránce s informací o zákazu zobrazí tlačítko Odemknout. Stisknutím tohoto tlačítka si uživatel může vynutit povolení přístupu na požadovanou stránku, přestože jej pravidlo pro URL zakazuje. Odemknutí stránky je časově omezeno (standardně 10 minut). Každý uživatel může odemknout jen omezený počet zakazujících pravidel (maximálně 10 pravidel současně). Všechny požadavky na odemknutí se zaznamenávají do záznamu Filter (viz kapitola 19.9). 128

129 9.1 Pravidla pro URL Poznámky: 1. Odemykat pravidla smějí pouze uživatelé, kteří jsou na firewallu přihlášeni. 2. Při jakékoliv změně v pravidlech pro URL se všechna odemknutí ihned ruší. prázdnou stránku uživatel nezíská žádné informace o tom, proč se požadovaná stránka nezobrazila (nedozví se ani o existenci WinRoute) jinou stránku prohlížeč uživatele bude přesměrován na zadané URL. Tuto volbu lze využít např. pro definici vlastní stránky s informací o zakázaném přístupu. Záložka Pravidla pro obsah umožňuje upřesnit globální pravidla pro WWW stránky. Parametry v této záložce lze nastavovat pouze v případě, že se jedná o pravidlo povolující přístup (v záložce obecné je vybrána volba Povolit přístup na stránku). Obrázek 9.4 Volby pro obsah WWW stránek vyhovujících pravidlu pro URL Volby pro kontrolu obsahu WWW V této sekci lze provést specifické nastavení filtrování objektů na WWW stránkách, které vyhovují tomuto pravidlu (podrobnosti viz kapitola 9.2). Specifické nastavení v pravidle pro URL má vyšší prioritu než nastavení v uživatelském účtu (viz kapitola 13.1), resp. globální pravidla pro nepřihlášené uživatele (viz kapitola 9.2). Pro každý typ objektu může být nastavena jedna z následujících voleb: Povolit příslušný objekt bude na stránce ponechán, Zakázat příslušný objekt bude filtrován (odstraněn ze stránky), Výchozí pro příslušný objekt budou platit globální pravidla nebo pravidla pro daného uživatele (tzn. toto pravidlo pro URL nebude ovlivňovat filtrování příslušného objektu). 129

130 Kapitola 9 Filtrování protokolů HTTP a FTP Zamezit přístup na WWW stránky... Zapnutím této volby bude blokován přístup na WWW stránky, které vyhovují tomuto pravidlu a obsahují zakázaná slova definovaná v sekci Konfigurace Filtrování obsahu Pravidla pro HTTP, záložka Zakázaná slova. Podrobné informace o zakázaných slovech viz kapitola 9.4. Provádět antivirovou kontrolu obsahu dle pravidel Po zaškrtnutí této volby bude prováděna antivirová kontrola dle nastavení v sekci Konfigurace Filtrování obsahu Antivirus (viz kapitola 10.3). Upřesňující parametry pro inspekci protokolu HTTP Tlačítkem Upřesnění v záložce Pravidla pro HTTP se otevírá dialog pro nastavení parametrů inspekčního modulu protokolu HTTP. Obrázek 9.5 Nastavení parametrů inspekčního modulu protokolu HTTP Volby Povolit záznam HTTP a Povolit záznam Web zapínají/vypínají zápis HTTP požadavků (resp. navštívených WWW stránek) do záznamů HTTP (viz kapitola 19.10) a Web (viz kapitola 19.14). U položky Povolit záznam HTTP může být vybrán i formát záznamu: záznam WWW serveru Apache ( nebo záznam proxy serveru Squid ( Nastavení typu záznamu je důležité zejména v případě, má-li být záznam zpracováván nějakým analytickým nástrojem. Ve výchozím nastavení jsou povoleny oba záznamy (HTTP i Web) a pro záznam HTTP je nastaven typ Apache, který je pro správce firewallu (člověka) čitelnější. 130

131 9.2 Globální pravidla pro prvky WWW stránek Volba Použít filtrovací pravidla také pro lokální servery určuje, zda budou pravidla pro filtrování obsahu aplikována také na WWW servery v lokální síti, které jsou komunikačními pravidly (viz kapitola 6) zpřístupněny z Internetu. Ve výchozím nastavení je tato volba vypnuta inspekční modul kontroluje pouze syntaxi protokolu HTTP a provádí záznam požadavků (resp. WWW stránek) dle výše popsaných nastavení. 9.2 Globální pravidla pro prvky WWW stránek WinRoute umožňuje blokovat určité nežádoucí prvky v HTML stránkách. Typickým příkladem nežádoucích prvků jsou ActiveX objekty (bezpečnostní problémy v implementaci této technologie umožňují např. spouštění aplikací na klientském počítači) nebo tzv. pop-up okna (automatické otevírání nových oken prohlížeče, zpravidla pro zobrazování reklam). K nastavení globálního filtrování obsahu WWW stránek slouží sekce Konfigurace Filtrování obsahu Pravidla pro HTTP, záložka Pravidla pro obsah WWW stránek. Specifická nastavení pro konkrétní stránky lze definovat v pravidlech pro URL (viz kapitola 9.1). Nastavení v záložce Pravidla pro obsah WWW stránek platí pro HTTP komunikaci počítačů, ze kterých není přihlášen žádný uživatel. Pro uživatele přihlášené k firewallu platí specifická nastavení. Každý přihlášený uživatel si může nastavení filtrování upravit na stránce osobních preferencí WWW rozhraní WinRoute (viz kapitola 11.3). Nemá-li uživatel právo přejít pravidla pro obsah WWW stránek (viz kapitola 13.1), smí nastavení pouze zpřísnit nemůže povolit HTML prvek, který je globálně zakázán. Obrázek 9.6 Globální pravidla pro prvky WWW stránek 131

132 Kapitola 9 Filtrování protokolů HTTP a FTP Povolit HTML ActiveX objekty Aktivní objekty na WWW stránkách. Tato volba povoluje/blokuje HTML tagy <embed> a <object>. Povolit HTML tagy <script> HTML tagy <script> příkazy jazyků JavaScript, VBScript atd. Povolit otevírání nových oken (pop-up windows)... Automatické otevírání nových oken prohlížeče typicky reklamy. Tato volba povoluje/blokuje ve skriptech metodu window.open(). Povolit HTML tagy <applet> HTML tagy <applet> (Java Applet). Povolit mezidoménové odkazy referer Povolení nebo blokování položky Referer v HTTP hlavičce. Položka Referer obsahuje URL stránky, z níž klient na danou stránku přešel. Po vypnutí volby Povolit mezidoménové odkazy referer bude položka Referer blokována v případě, že obsahuje jiné jméno serveru než aktuální HTTP požadavek. Blokování mezidoménových odkazů v položkách Referer má význam pro ochranu soukromí uživatele (položka Referer může být sledována pro zjištění, jaké stránky uživatel navštěvuje). 9.3 Hodnocení obsahu WWW stránek (ISS OrangeWeb Filter) Modul ISS OrangeWeb Filter, integrovaný ve WinRoute, slouží k hodnocení obsahu WWW stránek. Každá stránka je tímto systémem zařazena do některé z předdefinovaných kategorií. Na základě této klasifikace k ní může být určitým uživatelům povolen či zakázán přístup. ISS OrangeWeb Filter používá celosvětovou dynamickou databázi, která obsahuje URL stránek a jejich klasifikace. Tuto databázi udržují speciální servery, které provádějí hodnocení jednotlivých stránek. Přistupuje-li uživatel k určité stránce, modul ISS OrangeWeb Filter ve WinRoute se dotáže databázového serveru na klasifikaci URL této stránky a podle klasifikace rozhodne, zda má přístup na stránku povolit či zakázat. Pro urychlení vyhodnocování jednotlivých URL mohou být získané odpovědi uloženy do lokální vyrovnávací paměti (cache), kde jsou po určitou dobu uchovány. Poznámky: 1. Modul ISS OrangeWeb Filter byl vyvinut a testován zejména pro stránky v anglickém jazyce. Úspěšnost klasifikace stránek v jiných jazycích (např. v češtině) je nižší. 2. Používání modulu ISS OrangeWeb Filter je vázáno na speciální licenci. Pokud licence WinRoute neobsahuje licenci tento modul, chová se modul jako zkušební verze 132

133 9.3 Hodnocení obsahu WWW stránek (ISS OrangeWeb Filter) (po 30 dnech od instalace WinRoute se automaticky vypne a volby v záložce ISS OrangeWeb Filter budou neaktivní). Podrobné informace o licencích naleznete v kapitole Je-li připojení do Internetu realizováno vytáčenou linkou, nedoporučujeme modul ISS OrangeWeb Filter používat. Při startu WinRoute Engine (resp. po zapnutí tohoto modulu) probíhá tzv. aktivace ověření přístupu k databázovému serveru. Tato aktivace se pak v pravidelných intervalech obnovuje. Je-li v okamžiku aktivace nebo pokusu o její obnovení linka zavěšena, aktivace neproběhne a modul ISS OrangeWeb Filter nebude funkční. Komunikace s databázovým serverem navíc značně zpomaluje dobu odezvy při přístupu na WWW stránky, jejichž klasifikace nejsou uloženy v lokální vyrovnávací paměti. Nastavení parametrů modulu ISS OrangeWeb Filter K aktivaci/deaktivaci a nastavení upřesňujících parametrů modulu ISS OrangeWeb Filter slouží záložka ISS OrangeWeb Filter v sekci Konfigurace Filtrování obsahu Pravidla pro HTTP. Povolit ISS OrangeWeb Filter Tato volba zapíná/vypíná modul pro klasifikaci WWW stránek ISS OrangeWeb Filter. Je-li modul ISS OrangeWeb Filter vypnut, pak: nejsou dostupné ostatní volby v záložce ISS OrangeWeb Filter, jsou deaktivována všechna pravidla pro URL, která používají klasifikaci modulem ISS OrangeWeb Filter (podrobnosti viz kapitola 9.3). Kategorizovat každou stránku bez ohledu... Po zapnutí této volby budou modulem ISS OrangeWeb Filter kategorizovány všechny WWW stránky (včetně zakázaných). Kategorizace všech stránek má význam zejména pro sledování statistik (viz kapitola 18.3). V poli Výjimky pro ISS OrangeWeb Filter lze specifikovat servery (případně konkrétní stránky), které nebudou tímto modulem kategorizovány. Tlačítko Přidat otevírá dialog pro zadání nové položky (serveru nebo stránky). Server Položka Server slouží ke specifikaci stránek, které nemají být klasifikovány modulem ISS OrangeWeb Filter. Do této položky lze zadat: jméno serveru (např. Jméno serveru má význam libovolné stránky na tomto serveru. adresu konkrétní stránky (např. Protokol ( není třeba uvádět. 133

134 Kapitola 9 Filtrování protokolů HTTP a FTP Obrázek 9.7 Nastavení parametrů modulu ISS OrangeWeb Filter masku URL s použitím hvězdičkové konvence (např. *.ker?o.*). Hvězdička nahrazuje libovolný (i nulový) počet znaků, otazník právě jeden znak. Popis Textový popis definované výjimky. Slouží k lepší orientaci, není nutné jej vyplňovat. Použití modulu ISS OrangeWeb Filter Pro klasifikaci WWW stránek modulem ISS OrangeWeb Filter musí být tento modul zapnut a nastaveny jeho parametry. Modul ISS OrangeWeb Filter se aktivuje vždy, když WinRoute zpracovává pravidlo pro URL, ve kterém je jako podmínka zadána klasifikace stránky do určitých kategorií. Jako příklad uvedeme pravidlo zakazující všem uživatelům přístup na stránky s nabídkou pracovních míst. 134

135 9.3 Hodnocení obsahu WWW stránek (ISS OrangeWeb Filter) V sekci Konfigurace Filtrování obsahu Pravidla pro HTTP, záložka Pravidla pro URL, definujeme následující pravidlo: Obrázek 9.8 Pravidlo pro filtrování WWW stránek dle kategorií systému ISS OrangeWeb Filter Klíčovým parametrem je volba je kategorizováno modulem ISS OrangeWeb Filter. URL každé navštívené stránky bude klasifikováno, a bude-li zařazeno do některé z vybraných kategorií, pak WinRoute zakáže přístup na tuto stránku. Tlačítkem Vybrat hodnocení otevřeme dialog pro výběr kategorií modulu ISS OrangeWeb Filter a zvolíme kategorii Zaměstnání / Nabídky zaměstnání (stránky s nabídkami pracovních míst). 135

136 Kapitola 9 Filtrování protokolů HTTP a FTP Obrázek 9.9 Výběr kategorií systému ISS OrangeWeb Filter Poznámky: 1. Tlačítkem Vybrat lze jednoduše označit všechny položky ve zvolené kategorii. Tlačítko Zrušit výběr zruší označení všech položek ve vybrané kategorii. 2. V pravidlech používajících klasifikaci modulem ISS OrangeWeb Filter je vhodné povolit odemknutí (záložka Upřesnění, volba Uživatelé mohou toto pravidlo "odemknout") pro případ, že bude stránka blokována z důvodu nesprávné klasifikace. 9.4 Filtrování WWW stránek dle výskytu slov WinRoute může filtrovat WWW stránky podle výskytu nežádoucích slov. Princip filtrování: Každému nežádoucímu slovu je přiřazena určitá hodnota, tzv. váha (celé kladné číslo). Váhy jednotlivých slov nalezených na stránce se sčítají (váha každého slova je započítána pouze jednou, bez ohledu na počet jeho výskytů na stránce). Jestliže celková váha stránky překročí nastavenou hodnotu (tzv. prahovou hodnotu), stránka je blokována. Pro účely filtrování WWW stránek dle nežádoucích slov umožňuje WinRoute definovat tzv. zakázaná slova. Pomocí pravidel pro URL (viz kapitola 9.1) lze pak definovat podmínky, za kterých bude filtrování stránek obsahujících zakázaná slova prováděno. 136

137 9.4 Filtrování WWW stránek dle výskytu slov Upozornění: Bez příslušných pravidel pro URL nemá definice zakázaných slov a prahové hodnoty žádný smysl! Definice pravidel pro filtrování dle výskytu slov Předpokládejme, že jsou již definována nějaká zakázaná slova a je nastavena prahová hodnota váhy stránky (podrobnosti viz dále). V záložce Pravidla pro URL sekce Konfigurace Filtrování obsahu Pravidla pro HTTP vytvoříme pravidlo (případně více pravidel) povolující přístup ke skupině stránek, které mají být filtrovány dle zakázaných slov. V záložce Pravidla pro obsah aktivujeme filtrování stránek obsahujících zakázaná slova. Příklad: Pravidlo pro filtrování všech WWW stránek dle výskytu zakázaných slov. V záložce Obecné povolíme přístup všem uživatelům ke všem WWW stránkám. Obrázek 9.10 Pravidlo pro filtrování WWW stránek dle výskytu slov (povolení přístupu) 137

138 Kapitola 9 Filtrování protokolů HTTP a FTP V záložce Pravidla pro obsah zapneme volbu Zamezit přístup na WWW stránky obsahující..., která aktivuje filtrování dle zakázaných slov. Obrázek 9.11 Pravidlo pro filtrování WWW stránek dle výskytu slov (filtrování slov) Skupiny slov K definici skupin slov slouží záložka Skupiny slov v sekci Konfigurace Filtrování obsahu Pravidla pro HTTP. Jednotlivá slova se pro přehlednost řadí do skupin. Zařazení do skupiny nemá žádný vliv na filtrování vždy se testují všechna slova ze všech skupin. Jednotlivé skupiny a v nich obsažená slova se zobrazují v podobě stromu. Zaškrtávací pole vlevo vedle každého slova umožňuje vypnutí slova (dočasné vyřazení slova bez nutnosti jej odstraňovat a poté znovu přidávat). Poznámka: Ve výchozí instalaci WinRoute jsou předdefinovány tyto skupiny slov: Pornography slova, která se typicky vyskytují na stránkách s erotickou tématikou, Warez / Cracks slova, která obvykle obsahují stránky nabízející ke stažení nelegální software, generátory licenčních klíčů apod. Všechna slova v předdefinovaných skupinách jsou ve výchozím nastavení vypnuta. Správce WinRoute je může použít a upravit jejich váhu dle vlastního uvážení. Prahová hodnota pro blokování WWW stránek Volba Blokovat stránky, jejichž váha je vyšší než určuje tzv. prahovou hodnotu celkové váhy stránky (tj. součtu vah všech nalezených nežádoucích slov na stránce). 138

139 9.4 Filtrování WWW stránek dle výskytu slov Je-li celková váha stránky větší než zadaná hodnota, přístup na tuto stránku bude blokován (váha každého slova je započtena pouze jednou, bez ohledu na počet výskytů slova na stránce). Obrázek 9.12 Skupiny zakázaných slov Definice zakázaných slov Tlačítko Přidat otevírá dialog pro přidání nového slova do skupiny nebo vytvoření nové skupiny. Obrázek 9.13 Definice zakázaného slova a/nebo skupiny slov 139

140 Kapitola 9 Filtrování protokolů HTTP a FTP Skupina Výběr skupiny, do které má být slovo zařazeno. Do této položky můžete také zadat název dosud neexistující skupiny tím dojde k vytvoření nové skupiny. Klíčové slovo Nežádoucí slovo, které má být na stránce vyhledáno. Váha Váha slova (míra vlivu slova na blokaci přístupu na stránku). Popis Libovolný textový komentář (pro přehlednost). 9.5 Filtrování protokolu FTP Pravidla pro přístup na FTP servery se nastavují v sekci Konfigurace Filtrování obsahu Pravidla pro FTP. Obrázek 9.14 Pravidla pro FTP Pravidla v této sekci jsou vždy procházena shora dolů (pořadí lze upravit tlačítky se šipkami na pravé straně okna). Vyhodnocování se zastaví na prvním pravidle, kterému FTP požadavek vyhoví. Pokud požadavek nevyhoví žádnému pravidlu, je přístup na FTP server povolen (implicitně vše povoleno). Poznámky: 1. Výchozí instalace WinRoute obsahuje několik předdefinovaných pravidel pro FTP. Tato pravidla jsou ve výchozím nastavení vypnuta. Správce WinRoute je může použít, případně upravit dle vlastního uvážení. 2. Ve výchozím nastavení je zapnuto pravidlo zakazující pokračování ve stahování souboru po přerušení (tzv. resume FTP příkaz REST). Toto je velmi důležité pro správnou funkci antivirové kontroly: pro spolehlivé nalezení viru je třeba, aby byl soubor kontrolován jako celek. 140

141 9.5 Filtrování protokolu FTP Je-li toto chování nežádoucí, můžeme předdefinované pravidlo vypnout. Pak ale není zaručena plná spolehlivost antivirové kontroly. Bezpečnější postup v takovém případě je definovat výjimku pro konkrétní FTP server pravidlo povolující přístup na tento server bez omezení. Toto pravidlo musí být umístěno nad předdefinovaným pravidlem zakazujícím pokračování ve stahování. Podrobnosti o antivirové kontrole protokolu FTP naleznete v kapitole Definice pravidel pro FTP Chceme-li přidat nové pravidlo, označíme v tabulce pravidlo, pod které má být nové pravidlo vloženo, a stiskneme tlačítko Přidat. Šipkovými tlačítky na pravé straně okna lze pořadí pravidel dodatečně upravit. Zaškrtávací pole vedle popisu pravidla slouží k jeho vypnutí pravidlo můžete dočasně vyřadit bez nutnosti jej odstraňovat a poté znovu přidávat. Poznámka: Přístup k FTP serverům, pro které neexistuje odpovídající pravidlo, je povolen (implicitně vše povoleno). Chceme-li povolit přístup pouze k omezené skupině FTP serverů a všechny ostatní stránky blokovat, je třeba na konec seznamu umístit pravidlo zakazující přístup ke všem FTP serverům. Dialog pro definici pravidla pro FTP: Záložka Obecné slouží k nastavení základních podmínek a akcí, které mají být při jejich splnění provedeny. Popis Slovní popis funkce pravidla (pro snazší orientaci správce WinRoute). Jestliže na FTP server přistupuje Volba, pro které uživatele bude toto pravidlo platit: libovolný uživatel pro všechny uživatele (bez ohledu na to, zda jsou na firewallu ověřeni či nikoliv) libovolný uživatel ověřený na firewallu pro všechny uživatele, kteří jsou přihlášeni vybraní uživatelé pro vybrané uživatele a/nebo skupiny uživatelů. Tlačítko Nastavit otevírá dialog pro výběr uživatelů a skupin (přidržením kláves Ctrl a Shift můžete vybrat více uživatelů / skupin současně). Poznámka: Povolení nebo omezení vztahující se na vybrané uživatele (případně na všechny přihlášené uživatele) má smysl pouze v kombinaci s pravidlem zakazujícím přístup nepřihlášeným uživatelům. 141

142 Kapitola 9 Filtrování protokolů HTTP a FTP Obrázek 9.15 Pravidlo pro FTP základní parametry A FTP server vyhovuje těmto kritériím Specifikace FTP serverů, pro které má toto pravidlo platit: libovolný server libovolný FTP server server IP adresa nebo DNS jméno konkrétního FTP serveru. Je-li FTP server zadán DNS jménem, pak WinRoute automaticky zjistí z DNS odpovídající IP adresu. Zjištění IP adresy se provádí bezprostředně po potvrzení změn stisknutím tlačítka Použít (pro všechna pravidla, v nichž byl FTP server zadán jménem). Upozornění: Dokud se nepodaří zjistit odpovídající IP adresu, je příslušné pravidlo neaktivní! IP adresa ze skupiny výběr skupiny IP adres FTP serverů, které mají být zakázány nebo povoleny. 142

143 9.5 Filtrování protokolu FTP Tlačítko Změnit otevírá dialog pro úpravu skupin IP adres (podrobnosti viz kapitola 12.1). Akce Volba akce, která bude provedena, jestliže jsou splněny podmínky pro uživatele a FTP server: Povolit WinRoute povolí přístup na definované FTP servery za podmínek nastavených v záložce Upřesnění viz dále). Zakázat WinRoute bude blokovat určité FTP příkazy či celé spojení (v závislosti na nastavení v záložce Upřesnění ). Zaškrtnutím volby Zaznamenat budou všechny přístupy na FTP, které vyhověly tomuto pravidlu, zaznamenány do záznamu Filter (viz kapitola 19.9). V záložce Upřesnění jsou obsaženy další podmínky, za kterých má pravidlo platit, a upřesňující podmínky pro FTP komunikaci. Obrázek 9.16 Pravidlo pro FTP upřesňující nastavení Platí v časovém intervalu Výběr časového intervalu platnosti pravidla (mimo tento interval je pravidlo neaktivní). Tlačítko Změnit otevírá dialog pro úpravu časových intervalů (podrobnosti viz kapitola 12.2). 143

144 Kapitola 9 Filtrování protokolů HTTP a FTP Platí pro skupinu IP adres Výběr skupiny IP adres, pro kterou bude toto pravidlo platit (jedná se o zdrojové IP adresy, tedy adresy klientů). Speciální volba Libovolná znamená, že pravidlo nebude závislé na IP adrese klienta. Tlačítko Změnit otevírá dialog pro úpravu skupin IP adres (podrobnosti viz kapitola 12.1). Obsah Upřesňující volby pro obsah FTP komunikace. Volba Typ nastavuje způsob filtrování: Download, Upload, Download / Upload přenos souborů v některém směru, případně v obou směrech. Při výběru některé z těchto voleb se zobrazí položka Jméno souboru v této položce můžete uvést jména souborů, pro které má pravidlo platit. Ve jméně souboru lze použít hvězdičkovou konvenci (např. *.exe spustitelné soubory). FTP příkaz výběr příkazů protokolu FTP, pro které má pravidlo platit Libovolný zakazuje jakékoli připojení nebo příkaz, jakoukoli komunikaci Provádět antivirovou kontrolu obsahu dle pravidel Zapnutí/vypnutí antivirové kontroly FTP komunikace vyhovující tomuto pravidlu. Tato volba je dostupná pouze v povolujících pravidlech je-li určitá komunikace zakázána, nemá nastavení antivirové kontroly smysl. 144

145 Kapitola 10 Antivirová kontrola WinRoute umožňuje kontrolovat objekty (soubory) přenášené protokoly HTTP, FTP, SMTP a POP3 antivirovým programem. V případě protokolů HTTP a FTP může správce WinRoute specifikovat, které objekty (resp. typy objektů) mají být kontrolovány. WinRoute je dodáván s integrovaným antivirem McAfee (jeho použití vyžaduje speciální licenci). Kromě integrovaného modulu WinRoute podporuje externí antiviry různých výrobců (např. Eset Software, Grisoft, Sophos, Symantec atd.). Licence antivirového programu musí splňovat licenční podmínky dané jeho výrobcem (typicky stejný nebo vyšší počet uživatelů, pro který je licencován WinRoute, nebo speciální serverová licence). Od verze WinRoute umožňuje použít současně integrovaný antivirový modul McAfee a zvolený externí antivirus. Přenášené soubory jsou pak kontrolovány oběma antiviry (tzv. duální antivirová kontrola). Tím se snižuje pravděpodobnost propuštění souboru s virem. Současné použití dvou antivirů má však negativní dopad na výkon firewallu. Doporučujeme proto důkladně zvážit, zda duální antivirovou kontrolu použít a na jaké protokoly ji aplikovat, případně provést testy se zkušební verzí WinRoute před zakoupením příslušné licence. Poznámky: 1. Podporované externí antiviry, stejně jako verze jednotlivých programů a obchodní podmínky, se mohou v průběhu času měnit. Aktuální informace vždy naleznete na WWW stránkách firmy Kerio Technologies ( 2. Externí McAfee Anti-Virus není ve WinRoute podporován Podmínky a omezení antivirové kontroly Antivirovou kontrolu objektů přenášených určitým protokolem lze provádět pouze v případě, že je komunikace sledována příslušným inspekčním modulem (viz kapitola 12.3) a tento modul podporuje spolupráci s antivirem. Z toho vyplývají následující omezení: Antivirovou kontrolu nelze provádět při použití zabezpečeného kanálu (SSL/TLS). V tomto případě není technicky možné dešifrovat komunikaci a oddělit jednotlivé přenášené objekty. Při antivirové kontrole u (protokoly SMTP a POP3) firewall pouze odstraňuje infikované přílohy není možné zahazovat celé zprávy. Podrobnosti viz kapitola

146 Kapitola 10 Antivirová kontrola Objekty přenášené jinými protokoly než HTTP, FTP, SMTP a POP3 nelze kontrolovat antivirem. Je-li při komunikaci použit nestandardní port, pak nebude příslušný inspekční modul aplikován automaticky. V tomto případě stačí definovat komunikační pravidlo povolující tuto komunikaci s použitím příslušného inspekčního modulu (podrobnosti viz kapitola 6.3). Příklad: Chceme provádět antivirovou kontrolu protokolu HTTP na portu Definujeme službu HTTP 8080 (protokol TCP, port 8080). 2. Vytvoříme komunikační pravidlo povolující tuto službu s použitím příslušného inspekčního modulu. Obrázek 10.1 Komunikační pravidlo pro inspekci protokolu HTTP na nestandardním portu Vytvořené pravidlo umístíme nad pravidlo povolující přístup do Internetu k libovolné službě (pokud je takové pravidlo definováno). V případě, že je pro přístup do Internetu použita technologie NAT (překlad zdrojových IP adres), musíme v tomto pravidle rovněž nastavit překlad adres. Poznámka: Inspekční modul můžeme rovněž uvést v definici služby, případně na obou místech efekt je ve všech případech stejný (při uvedení přímo v komunikačním pravidle je však pravidlo průhlednější ) Výběr a nastavení antivirových programů K výběru antivirových programů a nastavení jejich parametrů slouží sekce Konfigurace Filtrování obsahu Antivirus, záložka Antivirový program. V této záložce můžeme zvolit integrovaný modul McAfee, externí antivirový program nebo oba současně. Budou-li použity oba antiviry, pak bude každý přenášený objekt (stahovaný soubor, příloha ové zprávy atd.) zkontrolován nejprve integrovaným modulem McAfee a poté zvoleným externím antivirem. 146

147 10.2 Výběr a nastavení antivirových programů Integrovaný antivirus McAfee Chceme-li použít integrovaný antivirus McAfee, zapneme v horní části záložky Antivirový program volbu Použít Integrovaný antivirový modul McAfee. Tato volba je dostupná pouze v případě, že licenční klíč WinRoute obsahuje licenci pro antivirový modul McAfee, nebo jedná-li se o zkušební verzi WinRoute. Podrobné informace o licencích naleznete v kapitole 4. Obrázek 10.2 Výběr antivirového programu (integrovaný antivirový modul) V dolní části záložky Antivirový program je nyní aktivní sekce Integrovaný antivirový modul, ve které lze nastavit aktualizaci modulu McAfee. Obrázek 10.3 Nastavení aktualizace integrovaného antivirového modulu McAfee Zkusit aktualizovat každých... hodin Tato volba zapíná/vypíná automatickou kontrolu nových verzí virové databáze a antivirového programu v nastaveném intervalu. V těchto intervalech WinRoute zkontroluje, zda je k dispozici nějaká aktualizace, a pokud ano, automaticky ji stáhne. Je-li pokus o aktualizaci neúspěšný (např. z důvodu nedostupnosti serveru), zapíše se detailní informace do záznamu Error (viz kapitola 19.8). Při každém pokusu o aktualizaci se vynuluje položka Od poslední kontroly nové verze uplynulo. 147

148 Kapitola 10 Antivirová kontrola Upozornění: Pro zajištění maximální účinnosti antivirové kontroly je nutné, aby měl antivirový modul vždy k dispozici nejnovější verzi virové databáze. Z tohoto důvodu doporučujeme nevypínat automatickou aktualizaci a nenastavovat příliš velké intervaly pokusů o aktualizaci (pokus o aktualizaci by měl proběhnout alespoň dvakrát denně). Aktuální virová databáze je stará Stáří virové databáze, která je aktuálně používána. Poznámka: Vysoká hodnota v tomto poli může indikovat, že se opakovaně nezdařilo databázi aktualizovat. V takových případech doporučujeme zkusit provést aktualizaci ručně (tlačítkem Aktualizovat) a prohlédnout záznam Error. Od poslední kontroly nové verze uplynulo Doba, která uplynula od posledního pokusu o aktualizaci (bez ohledu na to, zda byl úspěšný či nikoliv). Verze virové databáze Číslo verze virové databáze, která se aktuálně používá. Verze antivirového modulu Číslo verze antivirového modulu McAfee, který WinRoute používá. Aktualizovat Toto tlačítko slouží k okamžitému provedení aktualizace (tj. kontroly a případného stažení nových verzí) virové databáze a antivirového programu. Po stisknutí tlačítka Aktualizovat se zobrazí okno s průběhem pokusu o aktualizaci. Toto okno můžete tlačítkem OK kdykoliv zavřít není třeba čekat na dokončení aktualizace. Proběhne-li aktualizace úspěšně, zobrazí se číslo nové verze virové databáze a/nebo antivirového programu a stáří aktuální virové databáze. Je-li pokus o aktualizaci neúspěšný (např. z důvodu nedostupnosti serveru), zobrazí se chybové hlášení a zapíše se detailní informace do záznamu Error. Při každém pokusu o aktualizaci se vynuluje položka Od poslední kontroly nové verze uplynulo. Externí antivirový program Chceme-li použít některý z podporovaných externích antivirů, zapneme volbu Použít externí antivirový program v horní části záložky Antivirový program a vybereme požadovaný antivirus. Nabídka obsahuje všechny antivirové programy, které WinRoute podporuje pomocí speciálních modulů (plugins). Upozornění: Externí antivirový program musí být nainstalován dříve, než bude ve WinRoute nastaven. Před instalací antivirového programu doporučujeme zastavit službu WinRoute Firewall Engine. 148

149 10.2 Výběr a nastavení antivirových programů Obrázek 10.4 Výběr antivirového programu (externí antivirus) Tlačítko Volby otevírá dialog pro nastavení upřesňujících parametrů vybraného antivirového programu. Tyto parametry jsou závislé na konkrétním antiviru (pro některé antiviry nelze, resp. není třeba nastavovat žádné parametry). Podrobné informace o instalaci a konfiguraci jednotlivých antivirových programů naleznete na WWW stránkách Po stisknutí tlačítka Použít se provede test vybraného antiviru. Je-li test úspěšný, bude tento antivirus nadále používán. Je-li test neúspěšný, zobrazí se chybové hlášení a zůstane nastaven předchozí antivirus. Do záznamu Error (viz kapitola 19.8) se zapíší podrobné informace o zjištěné chybě. Nastavení parametrů antivirové kontroly V poli Protokoly záložky Antivirový program lze zvolit aplikační protokoly, na které bude antivirová kontrola aplikována. Ve výchozím nastavení je antivirová kontrola zapnuta pro všechny podporované protokoly. V poli Nastavení lze určit maximální velikost souborů, které budou antivirem na firewallu kontrolovány. Kontrola velkých souborů je náročná na čas, procesor i diskový prostor serveru, což může mít zásadní negativní vliv na činnost firewallu. V některých případech může také dojít k přerušení spojení, kterým je soubor přenášen, z důvodu vypršení časového limitu. Optimální hodnota je závislá na konkrétních podmínkách (výkon serveru, intenzita sít ového provozu, charakter přenášených dat, typ použitého antiviru atd.). Důrazně doporučujeme neměnit výchozí nastavení omezení velikosti souboru, v žádném případě nenastavovat vyšší hodnotu než výchozí (4 MB). Parametry kontroly protokolů HTTP a FTP lze nastavit v záložce Kontrola HTTP a FTP (viz kapitola 10.3), parametry kontroly SMTP a POP3 v záložce Kontrola u (viz kapitola 10.4). 149

150 Kapitola 10 Antivirová kontrola Obrázek 10.5 Výběr kontrolovaných aplikačních protokolů a omezení velikosti souboru Upozornění: Při vzájemné komunikaci dvou poštovních serverů Microsoft Exchange mohou být použita nestandardní rozšíření protokolu SMTP. ové zprávy se v některých případech přenášejí v binární podobě. WinRoute pak nemůže provádět antivirovou kontrolu jednotlivých příloh. V těchto případech doporučujeme použít antivirový program, který spolupracuje přímo s Microsoft Exchange, a ve WinRoute neprovádět kontrolu SMTP komunikace příslušného serveru. Toho lze docílit bud vypnutím antivirové kontroly protokolu SMTP nebo definicí odpovídajícího komunikačního pravidla bez použití inspekčního modulu (viz kapitola 22.4) Antivirová kontrola protokolů HTTP a FTP V případě protokolů HTTP a FTP se provádí kontrola přenášených objektů (souborů) zvolených typů. Přenášený soubor je zároveň ukládán do dočasného adresáře na lokálním disku firewallu. Poslední část souboru (blok přenášených dat) WinRoute pozdrží ve své vyrovnávací paměti a provede antivirovou kontrolu souboru v dočasném adresáři. Je-li v souboru nalezen virus, pak WinRoute poslední blok dat zahodí. Klient tak dostane soubor poškozený (neúplný) nebude jej moci spustit a virus aktivovat. Není-li nalezen žádný virus, pak WinRoute pošle klientovi zbývající část souboru a přenos je úspěšně dokončen. Uživateli, který soubor stahoval, může být volitelně zaslána výstraha o nalezeném viru (viz volba Upozornit klienta). Upozornění: 1. Antivirová kontrola dokáže pouze nalézt a blokovat infikované soubory, není možné je léčit! 2. V pravidlech pro filtrování protokolů HTTP a FTP může být antivirová kontrola vypnuta pak se nekontrolují objekty a soubory vyhovující příslušnému pravidlu. Podrobnosti naleznete v kapitolách 9.1 a

151 10.3 Antivirová kontrola protokolů HTTP a FTP 3. Při použití nestandardních rozšíření WWW prohlížečů (od jiných výrobců typicky download managery, akcelerátory apod.) není zaručena plná funkčnost antivirové kontroly protokolu HTTP! Parametry kontroly protokolů HTTP a FTP lze nastavit v sekci Konfigurace Filtrování obsahu Antivirus, záložka Kontrola HTTP a FTP. Obrázek 10.6 Nastavení antivirové kontroly protokolů HTTP a FTP V poli Je-li nalezen virus lze specifikovat akce, které budou provedeny při detekci viru v přenášeném souboru: Přesunout soubor do karantény soubor bude uložen do speciálního adresáře na počítači s WinRoute. Správce WinRoute se pak může pokusit tento soubor léčit antivirovým programem a v případě úspěchu pak předat uživateli, který jej stahoval. 151

152 Kapitola 10 Antivirová kontrola Pro karanténu se používá podadresář quarantine v adresáři WinRoute (typicky C:\Program Files\Kerio\WinRoute Firewall\quarantine). Infikované (resp. podezřelé) soubory jsou do tohoto adresáře ukládány pod automaticky vytvořenými jmény. Jméno každého souboru obsahuje protokol, datum, čas a číslo spojení, kterým byl soubor přenášen. Upozornění: Při práci se soubory v adresáři quarantine je třeba dbát zvýšené opatrnosti, aby nedošlo k aktivaci některého viru a infikaci počítače s WinRoute! Upozornit klienta WinRoute pošle uživateli, který tento soubor stahoval, ovou zprávu s výstrahou, že v tomto souboru byl detekován virus a stahování bylo přerušeno. Výstrahu WinRoute vyšle pouze za těchto podmínek: uživatel je přihlášen na firewall, v příslušném uživatelském účtu je nastavena platná ová adresa (viz kapitola 13.1) a je korektně nastaven SMTP server pro odesílání pošty (viz kapitola 16.4). Poznámka: Nezávisle na volbě Upozornit klienta lze při detekci virů zasílat výstrahy na definované adresy (např. správcům sítě). Podrobnosti naleznete v kapitole Pole Nemůže-li být soubor zkontrolován umožňuje nastavit akci pro případy, kdy nelze provést antivirovou kontrolu přenášeného souboru (např. komprimovaný soubor chráněný heslem, poškozený soubor atd.): Zakázat přenos souboru WinRoute bude tyto soubory považovat za infikované a nepovolí jejich přenos. TIP: Tuto volbu je vhodné kombinovat s volbou Přesunout soubor do karantény správce WinRoute může pak např. ve spolupráci s příslušným uživatelem soubor dekomprimovat a provést antivirovou kontrolu ručně. Povolit přenos souboru WinRoute bude předpokládat, že šifrované či poškozené soubory neobsahují viry. Tato volba obecně není bezpečná, ale lze ji využít např. v případě, kdy uživatelé přenášejí velké množství šifrovaných souborů (archivů) a na pracovních stanicích je nainstalován antivirový program. Pravidla pro antivirovou kontrolu HTTP a FTP Tato pravidla slouží k nastavení podmínek, za kterých má být antivirová kontrola prováděna. Implicitně (tj. pokud není definováno žádné pravidlo) se kontrolují všechny objekty přenášené protokoly HTTP a FTP. 152

153 10.3 Antivirová kontrola protokolů HTTP a FTP Poznámka: WinRoute obsahuje několik předdefinovaných pravidel pro antivirovou kontrolu protokolů HTTP a FTP. Ve výchozím nastavení se kontrolují všechny spustitelné soubory a soubory aplikací sady Microsoft Office. Správce WinRoute může toto nastavení upravit dle vlastního uvážení. Pravidla antivirové kontroly tvoří uspořádaný seznam, který je procházen shora dolů. Tlačítky se šipkami na pravé straně okna lze upravit pořadí pravidel. Vyhodnocování se zastaví na prvním pravidle, kterému kontrolovaný objekt vyhoví. Tlačítko Přidat otevírá dialog pro definici nového pravidla. Obrázek 10.7 Definice pravidla pro antivirovou kontrolu protokolů HTTP a FTP Popis Textový popis pravidla (pro snazší orientaci správce WinRoute) Podmínka Podmínka pravidla: HTTP/FTP jméno souboru Volbou lze filtrovat jména souborů (nikoli celá URL) přenášených protokolem FTP nebo HTTP (např. *.exe, *.zip atd.). Zadáme-li jako jméno souboru pouze hvězdičku, bude pravidlo platit pro všechny soubory přenášené protokoly HTTP a FTP. Zbývající podmínky lze aplikovat pouze na protokol HTTP: MIME typ objektu. MIME typ může být zadán kompletně (např. image/jpeg) nebo s použitím hvězdičkové konvence (např. application/*). URL objektu (např. podřetězec s použitím hvězdičkové konvence (např. *.exe) nebo jméno serveru (např. 153

154 Kapitola 10 Antivirová kontrola Jméno serveru má význam libovolného URL na tomto serveru ( Zadáme-li jako MIME typ nebo URL pouze hvězdičku, bude pravidlo platit pro všechny HTTP objekty. Akce Volba, zda objekt má či nemá být kontrolován antivirovým programem. Volba Nekontrolovat znamená, že přenos objektu bude povolen bez antivirové kontroly. Nové pravidlo bude přidáno pod pravidlo, které bylo označené před stisknutím tlačítka Přidat. Šipkovými tlačítky na pravé straně okna přesuňte vytvořené pravidlo na požadované místo. Zaškrtávací pole vedle popisu pravidla slouží k jeho vypnutí pravidlo můžete dočasně vyřadit bez nutnosti jej odstraňovat a poté znovu přidávat. Poznámka: Nevyhoví-li objekt žádnému pravidlu, pak je antivirovým programem automaticky zkontrolován. Mají-li být kontrolovány pouze vybrané typy objektů, musí být na konci seznamu uvedeno pravidlo zakazující antivirovou kontrolu pro libovolné URL či libovolný MIME typ (předdefinované pravidlo Skip all other files) Antivirová kontrola u Tato záložka umožňuje nastavit parametry antivirové kontroly protokolů SMTP a POP3. Je-li antivirová kontrola pro tyto protokoly (resp. některý z nich) zapnuta, pak se kontrolují všechny přílohy všech přenášených zpráv. Jednotlivé přílohy přenášené zprávy WinRoute postupně ukládá do dočasného adresáře na lokálním disku. Po uložení celého souboru provede antivirovou kontrolu. Není-li nalezen virus, je příloha vložena zpět do zprávy. Při nalezení viru je příloha nahrazena textovou informací o nalezeném viru. Poznámka: Při detekci virů lze rovněž zasílat výstrahy na definované adresy (např. správcům sítě). Podrobnosti naleznete v kapitole Upozornění: 1. Antivirová kontrola ové komunikace dokáže pouze nalézt a blokovat infikované přílohy zpráv. Přílohy není možné léčit! 2. Při antivirové kontrole u lze pouze odstraňovat infikované přílohy, není možné zahazovat celé zprávy. Důvodem je, že firewall nepracuje se zprávami jako poštovní server, ale jen zasahuje do sít ové komunikace, která přes něj prochází. Odstranění celé zprávy by ve většině případů způsobilo chybu komunikace se serverem a klient 154

155 10.4 Antivirová kontrola u by se pravděpodobně pokusil odeslat, resp. stáhnout zprávu znovu. V důsledku by jedna zavirovaná zpráva zablokovala odeslání, resp. příjem všech ostatních (legálních) zpráv. Záložka Antivirová kontrola u umožňuje nastavit akce při nalezení viru a upřesňující parametry. Obrázek 10.8 Nastavení antivirové kontroly protokolů SMTP a POP3 V poli Obsahuje-li zpráva přílohy odmítnuté antivirovou kontrolou lze nastavit akce pro zprávu, ve které byla nalezena alespoň jedna infikovaná příloha: Přesunout zprávu do karantény zpráva bude uložena do speciálního adresáře na počítači s WinRoute. Správce WinRoute se pak může pokusit infikované přílohy léčit antivirovým programem a v případě úspěchu je předat původnímu adresátovi. Pro karanténu se používá podadresář quarantine v adresáři WinRoute (typicky C:\Program Files\Kerio\WinRoute Firewall\quarantine). Zprávy s infikovanými (resp. podezřelými) přílohami jsou do tohoto adresáře ukládány pod automaticky vytvořenými jmény. Jméno každého souboru obsahuje protokol, datum, čas a číslo spojení, kterým byla zpráva s infikovanou přílohou přenášena. Před předmět zprávy přidat tento text touto volbou lze specifikovat text, který bude připojen před předmět každé ové zprávy, ve které byla nalezena alespoň jedna 155

156 Kapitola 10 Antivirová kontrola infikovaná příloha. Tento text slouží pro upozornění příjemce zprávy a lze jej také použít k automatickému filtrování zpráv. Poznámka: Bez ohledu na nastavenou akci, při detekci viru v příloze zprávy je tato příloha vždy ze zprávy odstraněna a nahrazena varováním. V poli TLS spojení lze nastavit chování firewallu pro případy, kdy poštovní klient i server podporují zabezpečení SMTP a POP3 komunikace protokolem TLS. Při použití protokolu TLS se nejprve naváže nešifrované spojení a poté se klient se serverem dohodnou na přepnutí do zabezpečeného režimu (šifrované spojení). Pokud klient nebo server protokol TLS nepodporuje, pak k přepnutí do zabezpečeného režimu nedojde a komunikace probíhá nešifrovaným spojením. Je-li spojení šifrováno, pak jej firewall nemůže analyzovat a provádět antivirovou kontrolu přenášených zpráv. Správce WinRoute proto může nastavit jednu z následujících možností: Povolit zabezpečení protokolem TLS. Tato volba je vhodná v případech, kdy je ochrana spojení proti odposlechu důležitější než antivirová kontrola zpráv. TIP: V tomto případě je doporučeno nainstalovat na jednotlivé počítače uživatelů (pracovní stanice) antivirový program, který bude provádět antivirovou kontrolu pošty lokálně. Zakázat zabezpečení TLS. Firewall bude blokovat přepnutí spojení do zabezpečeného režimu. Klient se bude domnívat, že server protokol TLS nepodporuje, a zprávy budou přenášeny nezabezpečeným spojením. Firewall pak bude moci provádět antivirovou kontrolu všech přenášených zpráv. Pole Nemůže-li být příloha zkontrolována obsahuje volby pro případ, že ve zprávě bude nalezena jedna nebo více příloh, které nelze zkontrolovat antivirovým programem (např. archiv chráněný heslem, poškozený soubor apod.): Zakázat doručení této přílohy WinRoute se zachová stejně jako v případě detekce viru (včetně výše popsaných akcí). Povolit doručení této přílohy WinRoute bude předpokládat, že šifrované či poškozené přílohy neobsahují viry. Tato volba obecně není bezpečná, ale lze ji využít např. v případě, kdy uživatelé odesílají či přijímají velké množství šifrovaných souborů (typicky archivů chráněných heslem) a na pracovních stanicích je nainstalován antivirový program. 156

157 Kapitola 11 WWW rozhraní WinRoute obsahuje speciální WWW server, který poskytuje rozhraní pro přihlašování uživatelů, ovládání vytáčených linek a správu cache. WWW rozhraní existuje ve dvou verzích: nezabezpečené a zabezpečené SSL (obě verze obsahují totožné stránky). V následujícím přehledu uvádíme seznam URL jednotlivých stránek (server má význam jména nebo IP adresy počítače s WinRoute a 4080 je standardní port WWW rozhraní). hlavní stránka (Index) obsahuje pouze odkazy na dále uvedené stránky ověřování uživatelů na firewallu (přihlašovací a odhlašovací stránka) změna uživatelských nastavení (heslo, globální omezení pro WWW) zobrazení statistik uživatele (IP adresa, doba přihlášení, objem přenesených dat, počet filtrovaných objektů...) vytáčení a zavěšování vytáčených linek zobrazení statistik HTTP cache s možností vyhledávání a mazání uložených objektů zobrazení pravidel pro HTTP (viz kapitola 9.1), která se vztahují na daného uživatele a počítač, z něhož se k WWW rozhraní připojuje Pro zabezpečenou verzi je třeba uvést protokol HTTPS a port, na němž zabezpečené WWW rozhraní běží (standardně 4081) např.: 157

158 Kapitola 11 WWW rozhraní Poznámka: V následujících kapitolách budou pro jednoduchost jako příklady uváděna pouze URL stránek nezabezpečeného WWW rozhraní. Vždy platí, že zadáním protokolu HTTPS a příslušného čísla portu lze přistoupit na zabezpečenou verzi téže stránky Nastavení parametrů WWW rozhraní Základní parametry WWW rozhraní WinRoute lze nastavit v sekci Konfigurace Další volby, záložka WWW rozhraní. Poznámka: Horní část záložky WWW rozhraní / SSL-VPN slouží k nastavení parametrů Kerio SSL-VPN. Tato komponenta je podrobně popsána v kapitole 21. Obrázek 11.1 Nastavení parametrů WWW rozhraní WinRoute Povolit server Kerio SSL-VPN Tato volba zapíná rozhraní Kerio Clientless SSL-VPN. Podrobnosti naleznete v kapitole 21. Povolit WWW rozhraní (HTTP) Tato volba zapíná nezabezpečenou (HTTP) verzi WWW rozhraní. Výchozí port nezabezpečeného WWW rozhraní je Poznámka: Nevýhodou nezabezpečeného WWW rozhraní je možnost odposlechu sít ové komunikace a následného zneužití přihlašovacích informací uživatelů. Z tohoto důvodu je ve výchozí konfiguraci WinRoute nezabezpečené WWW rozhraní vypnuto. 158

159 11.1 Nastavení parametrů WWW rozhraní Povolit WWW rozhraní zabezpečené SSL (HTTPS) Tato volba zapíná zabezpečenou (HTTPS) verzi WWW rozhraní. Výchozí port zabezpečeného WWW rozhraní je Jméno serveru... DNS jméno serveru, které bude použito pro účely WWW rozhraní (např. server.firma.cz). Toto jméno nemusí být vždy totožné s názvem počítače, ale musí pro něj existovat odpovídající záznam v DNS. Poznámka: Pokud všichni klienti, kteří na WWW rozhraní přistupují, používají jako DNS server DNS forwarder ve WinRoute, pak není nutné jméno serveru do DNS přidávat DNS forwarder jej přečte automaticky z této položky (a provede rovněž kombinaci se jménem lokální domény viz kapitola 5.3). Povolit přístup pouze z těchto IP adres Výběr skupiny IP adres, z níž bude k WWW rozhraní povolen přístup (typicky lokální sít ). Tlačítkem Změnit lze upravit vybranou skupinu IP adres nebo vytvořit novou (podrobnosti viz kapitola 12.1). Poznámka: Omezení přístupu se vztahuje k nezabezpečené i zabezpečené verzi WWW rozhraní. Tlačítko Upřesnění otevírá dialog pro nastavení dalších parametrů WWW rozhraní. Nastavení portů WWW rozhraní Sekce TCP porty umožňuje nastavit čísla portů nezabezpečeného a zabezpečeného WWW rozhraní (výchozí porty jsou 4080 pro nezabezpečené rozhraní a 4081 pro zabezpečené rozhraní). Obrázek 11.2 Nastavení portů WWW rozhraní WinRoute 159

160 Kapitola 11 WWW rozhraní TIP: Pokud na počítači s WinRoute není provozován žádný WWW server, pak lze pro WWW rozhraní WinRoute použít standardní porty (tj. 80 pro HTTP a 443 pro HTTPS). Při použití standardních portů není nutné v URL stránek WWW rozhraní číslo portu uvádět. Upozornění: Zadáte-li do některé z uvedených položek port, který již používá jiná služba nebo aplikace, pak po stisknutí tlačítka Použít (v sekci Konfigurace Další volby) WinRoute tento port sice akceptuje, ale WWW rozhraní se na něm nespustí a do záznamu Error (viz kapitola 19.8) se vypíše chybové hlášení v této podobě: Socket error: Unable to bind socket for service to port 80. (5002) Failed to start service "WebAdmin" bound to address Pokud nemáte jistotu, že zadané porty jsou skutečně volné, pak bezprostředně po stisknutí tlačítka Použít zkontrolujte záznam Error, zda se v něm takovéto hlášení neobjevilo. SSL certifikát pro WWW rozhraní Princip zabezpečeného WWW rozhraní WinRoute spočívá v tom, že se celé spojení mezi klientem a serverem šifruje, aby bylo zabráněno odposlechu a zneužití přenášených informací. Protokol SSL, který je k tomuto účelu využit, používá nejprve asymetrickou šifru pro výměnu symetrického šifrovacího klíče, kterým se pak šifrují vlastní přenášená data. Asymetrická šifra používá dva klíče: veřejný pro šifrování a privátní pro dešifrování. Jak už jejich názvy napovídají, veřejný (šifrovací) klíč má k dispozici kdokoliv, kdo chce navázat se serverem spojení, zatímco privátní (dešifrovací) klíč má k dispozici pouze server a musí zůstat utajen. Klient ale také potřebuje mít možnost, jak si ověřit identitu serveru (zda je to skutečně on, zda se za něj pouze někdo nevydává). K tomu slouží tzv. certifikát. Certifikát v sobě obsahuje veřejný klíč serveru, jméno serveru, dobu platnosti a některé další údaje. Aby byla zaručena pravost certifikátu, musí být ověřen a podepsán třetí stranou, tzv. certifikační autoritou. Komunikace mezi klientem a serverem pak vypadá následovně: Klient vygeneruje symetrický klíč a zašifruje ho veřejným klíčem serveru (ten získá z certifikátu serveru). Server jej svým privátním klíčem (který má jen on) dešifruje. Tak znají symetrický klíč jen oni dva a nikdo jiný. Import nebo vytvoření SSL certifikátu Při instalaci WinRoute je automaticky vytvořen testovací certifikát pro zabezpečené WWW rozhraní (certifikát je uložen v podadresáři sslcert instalačního adresáře WinRoute v souboru server.crt, odpovídající privátní klíč v souboru server.key). Vytvořený certifikát je unikátní, je však vystaven na fiktivní jméno serveru a není vydán 160

161 11.1 Nastavení parametrů WWW rozhraní důvěryhodnou certifikační autoritou. Tento certifikát slouží pouze k zajištění funkce zabezpečeného WWW rozhraní (typicky pro zkušební účely) do chvíle, než vytvoříte nový certifikát nebo importujete certifikát vystavený veřejnou certifikační autoritou. Po stisknutí tlačítka Změnit SSL certifikát (v dialogu pro nastavení upřesňujících parametrů WWW rozhraní) se zobrazí dialog s aktuálním certifikátem serveru. Volbou Pole (položka certifikátu) lze zobrazit údaje bud o vydavateli certifikátu nebo o subjektu tedy vašem serveru. Obrázek 11.3 SSL certifikát WWW rozhraní WinRoute Vlastní originální certifikát, který bude skutečně prokazovat identitu vašeho serveru, můžete získat dvěma způsoby. Můžete si vytvořit vlastní, tzv. self-signed certifikát (tj. podepsaný sám sebou). To lze provést stisknutím tlačítka Vytvořit certifikát v dialogu, kde se zobrazuje aktuální certifikát serveru. V dialogu, který se zobrazí, je třeba vyplnit údaje o serveru a vaší společnosti. Povinné jsou pouze položky označené hvězdičkou (*). Po stisknutí tlačítka OK se nově vytvořený certifikát zobrazí v dialogu SSL certifikát serveru a ihned začne používat (není třeba nic restartovat). Vytvořený certifikát bude uložen do souboru server.crt a odpovídající privátní klíč do souboru server.key. 161

162 Kapitola 11 WWW rozhraní Obrázek 11.4 Vytvoření nového self-signed certifikátu pro WWW rozhraní WinRoute Vytvořený certifikát je originální a je vystaven vaší firmou vaší firmě na jméno vašeho serveru (self-signed certifikát certifikujete sami sebe). Narozdíl od testovacího certifikátu, tento již zajišt uje vašim klientům bezpečnost, protože příslušný privátní klíč znáte pouze vy a certifikát prokazuje identitu vašeho serveru. Klienti budou ve svých prohlížečích upozorněni již pouze na to, že certifikát nevystavila důvěryhodná certifikační autorita. Protože však vědí, kdo tento certifikát vytvořil a proč, mohou si jej do prohlížeče nainstalovat. Tím mají zajištěnu bezpečnou komunikaci a žádné varování se jim již zobrazovat nebude, protože váš certifikát nyní splňuje všechny potřebné náležitosti. Druhou možností je zakoupit plnohodnotný certifikát od některé veřejné certifikační autority (např. Verisign, Thawte, SecureSign, SecureNet, Microsoft Authenticode apod.). Průběh certifikace je poměrně složitý a vyžaduje určité odborné znalosti. Jeho popis je nad rámec tohoto manuálu. Při importu certifikátu je třeba načíst soubor s certifikátem (*.crt) a odpovídající privátní klíč (*.key). Tyto soubory WinRoute uloží do podadresáře sslcert ve svém instalačním adresáři. Jazyk WWW rozhraní WWW rozhraní WinRoute je k dispozici ve více jazykových verzích. Jazyk se volí automaticky dle nastavených preferencí ve WWW prohlížeči klienta (tato možnost existuje téměř ve všech současných prohlížečích). Není-li k dispozici žádný z preferovaných jazyků, použije se výchozí angličtina. 162

163 11.2 Přihlašovací a odhlašovací stránka V aktuální verzi WinRoute je WWW rozhraní k dispozici v angličtině, češtině, slovenštině, španělštině a ruštině. Jednotlivé jazykové verze jsou uloženy v tzv. definičních souborech v podadresáři weblang adresáře, kde je WinRoute nainstalován. Každý jazyk tvoří dva soubory: xx.def a xx.res, kde xx představuje standardní dvoupísmennou zkratku jazyka (např. en pro angličtinu, cs pro češtinu apod.). Na prvním řádku souboru xx.def je uvedena zkratka jazyka (shodná se zkratkou v názvu souboru) a na druhém řádku kódování znaků pro daný jazyk (např. ISO pro češtinu). Toto kódování znaků musejí používat oba soubory pro daný jazyk. Z výše uvedeného popisu vyplývá, že správce WinRoute může poměrně snadno modifikovat texty jednotlivých stránek WWW rozhraní, případně vytvořit novou jazykovou verzi. Poznámka: Změny v souboru xx.def se projeví až po restartu WinRoute Firewall Engine Přihlašovací a odhlašovací stránka K provádění určitých akcí (např. přístup do některých částí WWW rozhraní WinRoute, přístup na určité WWW stránky v Internetu apod.) je vyžadováno ověření uživatele. Ověřit se může každý uživatel, který má ve WinRoute vytvořen uživatelský účet (bez ohledu na přístupová práva). Základním způsobem ověření uživatele na firewallu je přihlášení jménem a heslem na přihlašovací stránce WWW rozhraní. Poznámka: Další způsoby ověřování uživatel na firewallu jsou popsány v kapitole 8.1. Přihlášení uživatele Přihlašovací stránka firewallu obsahuje dialog pro zadání uživatelského jména a hesla. Upozornění: Při použití účtů z více než jedné Active Directory domény (viz kapitola 13.4) platí pro uživatelské jméno tato pravidla: Uživatel z lokální databáze jméno musí být zadáno bez domény (např. admin), Primární doména jméno může být zadáno bez domény (např. jnovak) nebo s doménou (např. jnovak@firma.cz), Ostatní domény jméno musí být zadáno včetně domény (např. pmaly@pobocka.firma.cz). Není-li mapována žádná nebo je-li mapována pouze jedna Active Directory doména, mohou se všichni uživatelé přihlašovat uživatelským jménem bez domény. 163

164 Kapitola 11 WWW rozhraní Obrázek 11.5 Přihlašovací stránka WWW rozhraní firewallu Pokud byl uživatel na přihlašovací stránku přesměrován automaticky (zadáním URL stránky, pro niž firewall vyžaduje ověření), bude po úspěšném přihlášení přesměrován na původní požadovanou stránku. V opačném případě bude zobrazena informativní stránka, ze které lze přejít na další stránky WWW rozhraní (např. uživatelské preference, ovládání vytáčených linek nebo správa cache). Podrobnosti naleznete v následujících kapitolách. Odhlášení uživatele Po skončení činnosti, která vyžadovala ověření uživatele, by se uživatel měl od firewallu odhlásit prostřednictvím odhlašovací stránky. Odhlášení je důležité zejména v případech, kdy na jednom počítači pracuje střídavě více uživatelů. Kdyby se jeden uživatel od firewallu neodhlásil, další by pak mohli pracovat bez přihlášení pod jeho identitou Uživatelské preference Pokud uživatel požadoval zobrazení stránky uživatelských nastavení (zaškrtnutím stejnojmenné volby na přihlašovací stránce), pak je po úspěšném přihlášení uživatel automaticky přesměrován na tzv. uvítací stránku. Tato stránka obsahuje (mimo jiné) odkazy na: původně požadovanou stránku (URL:) pokud nebyla přihlašovací stránka vyvolána automaticky, je tato položka prázdná stránku preferencí uživatele (Uživatelská nastavení ) stránku statistik uživatele (Statistiky) 164

165 11.3 Uživatelské preference Uživatelská nastavení První část stránky uživatelských preferencí umožňuje povolit či zakázat určité prvky v HTML stránkách. Obrázek 11.6 Uživatelské nastavení filtrování objektů na WWW stránkách Volby pro filtrování obsahu Zaškrtnutí políčka pod názvem prvku znamená, že tento prvek bude povolen (tzn. nebude firewallem blokován). Je-li v nastavení příslušného uživatelského účtu ve WinRoute zakázán určitý prvek (viz kapitola 13.1), pak je příslušné pole na této stránce neaktivní (uživatel nemůže nastavení měnit). Uživatel smí svá pravidla pouze zpřísnit nemůže povolit HTML prvek, který mu zakázal správce WinRoute. Pop-Up okna automatické otevírání nových oken prohlížeče typicky reklamy. Tato volba blokuje ve skriptech metodu window.open(). ActiveX prvky Microsoft ActiveX (tato technologie dovoluje mimo jiné např. spouštění aplikací na klientském počítači). Tato volba blokuje HTML tagy <object> a <embed>. Java applet blokování HTML tagů <applet> Skripty blokování HTML tagů <script> (příkazy jazyků JavaScript, VBScript atd.) Cross-domain referer blokování položek Referer v HTTP hlavičce. Tato položka obsahuje URL stránky, z níž klient na danou stránku přešel. Volba Cross-domain referer blokuje položku Referer v případě, že obsahuje jiné jméno serveru než aktuální požadavek. Blokování Cross-domain referer má význam pro ochranu soukromí uživatele (položka Referer může být sledována pro zjištění, jaké stránky uživatel navštěvuje). 165

166 Kapitola 11 WWW rozhraní Uložit nastavení Stisknutím tohoto tlačítka se nastavené volby uloží a aktivují. Aktuální nastavení Toto tlačítko obnoví nastavení, které je momentálně aktivní (tj. jako při otevření této stránky, resp. při posledním stisknutí tlačítka Uložit nastavení ). Poznámka: Změny nastavení filtrování obsahu v uživatelském účtu se ve WWW rozhraní projeví až po dalším přihlášení příslušného uživatele. Druhá část stránky slouží pro změnu hesla uživatele. Obrázek 11.7 Změna uživatelského hesla Do příslušných položek je třeba zadat aktuální heslo uživatele, nové heslo a zopakovat nové heslo pro potvrzení. Tlačítkem Změnit heslo se nové heslo uloží. Upozornění: Změna hesla je možná pouze v případě, kdy je uživatel ověřován v interní databázi WinRoute (viz kapitola 13.1). Je-li použita jiná metoda ověřování, WinRoute Firewall Engine nemůže heslo uživatele změnit. V takovém případě není sekce pro změnu hesla na stránce uživatelských nastavení zobrazena Statistiky uživatele Na stránce Statistiky uživatele jsou zobrazovány tyto údaje: Informace o přihlášení uživatelské jméno, IP adresa, z níž je uživatel přihlášen, doba přihlášení a metoda, kterou se přihlásil (SSL zabezpečená přihlašovací stránka, Plaintext nezabezpečená přihlašovací stránka, NTLM bezpečné ověření ve Windows NT nebo Windows 2000, Proxy ověření na proxy serveru ve WinRoute), Statistika komunikace objem vyslaných a přijatých dat (v bytech) a počet vyslaných HTTP požadavků, 166

167 11.5 Zobrazení pravidel pro WWW stránky Statistika filtrování obsahu počet odstraněných objektů jednotlivých typů (viz výše), Statistika kvóty objemu dat využití denního a měsíčního limitu objemu přenesených dat Zobrazení pravidel pro WWW stránky Kliknutím na odkaz Omezení WWW na kterékoliv stránce WWW rozhraní WinRoute se zobrazí aktuální omezení přístupu na WWW stránky vztahující se na daný počítač a přihlášeného uživatele. Není-li přihlášen žádný uživatel, zobrazí se omezení platná pro IP adresu počítače, z něhož se k WWW rozhraní přistupuje. Detailní informace o pravidlech pro WWW stránky naleznete v kapitole Ovládání vytáčených linek Stránka Vytáčené linky zobrazuje seznam všech vytáčených linek, které jsou ve WinRoute definovány (viz kapitola 5.1). Obrázek 11.8 Stránka pro ovládání vytáčených linek U každé linky je zobrazen: stav linky Odpojeno, Připojuje se... (probíhá vytáčení), Připojeno, Odpojuje se (probíhá zavěšování). příkaz Vytočit nebo Zavěsit (v závislosti na stavu linky). Poznámka: Stránka Vytáčené linky je v pravidelných intervalech automaticky obnovována, aby stále zobrazovala aktuální stav linek. Tuto stránku (tj. stav vytáčených linek) si může zobrazit libovolný uživatel (není vyžadováno přihlášení). Po kliknutí na příkaz (Vytočit nebo Zavěsit) je však zkontrolováno, 167

168 Kapitola 11 WWW rozhraní zda je uživatel již přihlášen. Pokud ne, dojde k automatickému přesměrování na přihlašovací stránku. Uživatel, který chce ovládat vytáčené linky, musí mít odpovídající práva (volba Uživatel má právo vytočit linku v definici uživatelského účtu viz kapitola 13.1) Správa HTTP cache Stránka Obsah cache WWW rozhraní WinRoute slouží pro zobrazení a mazání objektů v HTTP cache. Tuto stránku může otevřít (zadáním příslušného URL nebo odkazem Cache v zápatí kterékoliv stránky WWW rozhraní) pouze uživatel, který má alespoň právo pro čtení konfigurace WinRoute (pokud není uživatel dosud přihlášen, dojde k automatickému přesměrování na přihlašovací stránku). Pro mazání objektů z cache jsou třeba plná práva ke správě. Detailní informace o přístupových právech uživatelů najdete v kapitole Poznámka: Nastavení parametrů HTTP cache je popsáno v kapitole 5.6. Obrázek 11.9 Zobrazení stavu HTTP cache a vyhledávání objektů v cache Podrobné informace o cache Kliknutím na odkaz Více informací se v přehledných tabulkách zobrazí: Počet uložených souborů, celková velikost všech souborů a průměrná velikost souboru Tabulka rozložení velikostí souborů (po 1 KB) 168

169 11.7 Správa HTTP cache Počet nalezených (Hit) a nenalezených (Mimo) objektů v cache Informace o prováděných údržbách cache (počet, čas uplynulý od poslední údržby a doba jejího trvání) Vyhledání objektů v cache Pole URL: s tlačítkem Vypsat slouží pro vyhledání všech objektů vyhovujících zadané masce URL. Nalezené objekty jsou vypsány v přehledné tabulce (max. 100 záznamů). U každého objektu je zobrazena jeho velikost, aktuální životnost (TTL) v hodinách a odkaz Smazat pro vymazání tohoto objektu z cache. Kliknutím na odkaz Smazat vše lze vymazat z cache všechny objekty vyhovující zadané masce URL (nikoliv pouze prvních 100 objektů, které jsou zobrazeny v tabulce). TIP: Volbou Smazat vše můžete vymazat celý obsah cache, jestliže do pole URL: zadáte pouze hvězdičku (*). 169

170 Kapitola 12 Definice 12.1 Skupiny IP adres Skupiny IP adres slouží k jednoduchému nastavení přístupu k určitým službám (např. vzdálená správa WinRoute, WWW server v lokální síti zpřístupněný z Internetu atd.). Při nastavování přístupu se použije jméno skupiny, a ta pak může obsahovat libovolné kombinace jednotlivých počítačů (IP adres), rozsahů IP adres, subsítí či jiných skupin. Vytvoření či úprava skupiny IP adres Definice skupin IP adres se provádí v sekci Konfigurace Definice Skupiny IP adres. Obrázek 12.1 Skupiny IP adres ve WinRoute Tlačítkem Přidat lze přidat novou skupinu (nebo položku do existující skupiny), tlačítkem Změnit upravit a tlačítkem Odebrat smazat vybranou skupinu či položku. Po stisknutí tlačítka Přidat se zobrazí dialog pro vytvoření nové skupiny IP adres. Jméno Název skupiny. Zadáním nového (dosud neexistujícího) názvu se vytvoří nová skupina, zadáním názvu již existující skupiny se přidá nová položka do této skupiny. Typ Druh přidávané položky: Počítač (IP adresa nebo DNS jméno konkrétního počítače) Subsít / maska (subsít s příslušnou maskou) 170

171 12.2 Časové intervaly Obrázek 12.2 Definice položky skupiny IP adres a/nebo nové skupiny Subsít / rozsah (rozsah IP adres) Skupina adres (jiná skupina IP adres skupiny adres lze do sebe vnořovat) IP adresa, Maska... Parametry přidávané položky (v závislosti na zvoleném typu) Popis Textový popis (komentář) ke skupině IP adres. Slouží pouze pro potřeby správce. Poznámka: Každá skupina IP adres musí obsahovat alespoň jednu položku. Odebráním poslední položky skupina zanikne Časové intervaly Časové intervaly jsou ve WinRoute úzce propojeny s komunikačními pravidly (viz kapitola 6). Správce WinRoute má tak možnost nastavit časový interval, kdy bude dané pravidlo platit. Ve skutečnosti se nejedná o interval, ale o skupinu tvořenou libovolným počtem různých intervalů a jednorázově naplánovaných akcí. Druhým využitím časových intervalů je nastavení parametrů vytáčených linek viz kapitola 5.1. Časové intervaly se definují v sekci Konfigurace Definice Časové intervaly. 171

172 Kapitola 12 Definice Obrázek 12.3 Časové intervaly ve WinRoute Typy časových intervalů Při definici časového intervalu lze použít tři druhy časových úseků (subintervalů): Absolutní Interval je přesně ohraničen počátečním a koncovým datem, neopakuje se Týdenní Opakuje se každý týden (ve stanovených dnech) Denní Opakuje se každý den (ve stanovených hodinách) Definice časových intervalů Časový interval lze vytvořit, upravit nebo smazat v sekci Konfigurace Definice Časové intervaly. Po stisknutí tlačítka Přidat se zobrazí dialog pro definici časového intervalu: Jméno Jednoznačný název (identifikace) časového intervalu. Zadáním nového (dosud neexistujícího) názvu se vytvoří nový časový interval, zadáním názvu již existujícího intervalu se přidá nová položka do tohoto intervalu. Popis Textový popis intervalu (slouží pouze pro účely správce) 172

173 12.2 Časové intervaly Obrázek 12.4 Definice položky časového intervalu a/nebo nového intervalu Typ intervalu Typ časového intervalu: Denní, Týdenní nebo Absolutní začínající a končící konkrétním datem Od, Do Začátek a konec časového úseku. Zde je možné zadat počáteční a koncový čas, případně také den v týdnu nebo datum (v závislosti na zvoleném typu intervalu) Platnost Dny v týdnu, kdy je interval aktivní. Lze vybrat konkrétní dny (Vybrané dny), nebo použít některou přednastavenou volbu (Všechny dny, Pracovní dny pondělí až pátek, Víkend sobota a neděle). Poznámky: 1. Každý časový interval musí obsahovat alespoň jednu položku. Odebráním poslední položky časový interval zanikne. 2. Vytvořené časové intervaly nelze do sebe vnořovat. 173

174 Kapitola 12 Definice 12.3 Služby Služby ve WinRoute usnadňují definici komunikačních pravidel (povolení či zakázání přístupu z lokální sítě do Internetu nebo naopak zpřístupnění lokálního serveru z Internetu). Zjednodušeně lze říci, že služba je definována komunikačním protokolem a číslem portu, na kterém je přístupná (např. služba HTTP používá protokol TCP, port 80). K vybraným službám lze rovněž přiřadit inspekční modul (detaily viz dále). Služby se definují v sekci Konfigurace Definice Služby. Ve výchozí instalaci WinRoute je zde již předdefinována řada standardních služeb (např. HTTP, FTP, DNS atd.). Obrázek 12.5 Sít ové služby ve WinRoute Stisknutím tlačítka Přidat nebo Změnit se otevírá dialog pro definici služby. Jméno Identifikace služby v rámci WinRoute. Z důvodu přehlednosti by jméno mělo být stručné a výstižné. Protokol Komunikační protokol, který služba používá. Většina standardních služeb používá protokol TCP nebo UDP, případně oba (lze definovat jako jednu službu pomocí volby TCP/UDP). Další volby jsou ICMP (internetové řídicí zprávy) a jiný. Volba jiný dovoluje specifikovat protokol jeho číslem v hlavičce IP paketu. Takto lze definovat libovolný protokol nesený v IP (např. GRE číslo protokolu 47). 174

175 12.3 Služby Obrázek 12.6 Definice sít ové služby Obrázek 12.7 Nastavení protokolu v definici služby Inspekční modul Inspekční modul WinRoute (viz dále), který bude použit pro tuto službu. Upozornění: Každý modul by měl být používán pouze pro službu, pro kterou je určen. Použití nesprávného modulu pravděpodobně způsobí nefunkčnost dané služby. Zdrojový a cílový port Je-li použit komunikační protokol TCP a/nebo UDP, pak je daná služba určena číslem cílového portu. Předpokládáme-li standardní model klient-server, server čeká na spojení na známém portu (číslo odpovídá dané službě), zatímco klient svůj port předem nezná (bude mu přidělen operačním systémem při navazování spojení). Z toho vyplývá, že u standardních služeb je zpravidla znám cílový port, zatímco zdrojový může být (téměř) libovolný. Poznámka: Specifikace zdrojového portu může mít význam např. při definici pravidla pro filtrování určitého typu komunikace. Podrobnosti najdete v kapitole 6.3. Zdrojový a cílový port lze specifikovat jako: 175

176 Kapitola 12 Definice Obrázek 12.8 Nastavení zdrojového a cílového portu v definici služby Libovolný všechny porty ( ) Rovná se konkrétní port (např. 80) Větší než, Menší než všechny porty s číslem větším, resp. menším než je zadáno Různý od všechny porty kromě uvedeného V rozsahu porty v zadaném rozsahu (včetně počátečního a koncového) Seznam seznam portů oddělených čárkami (např.: 80,8000,8080) Popis Textový popis definované služby. Doporučujeme popisovat důsledně význam každé definice, zejména pokud se jedná o nestandardní služby ušetříte si mnoho času a námahy při pozdějším odhalování chyb či předávání WinRoute jinému správci. Inspekční moduly WinRoute obsahuje speciální moduly, které sledují komunikaci daným aplikačním protokolem (např. HTTP, FTP apod.). Tuto komunikaci pak mohou určitým způsobem modifikovat (filtrovat) nebo přizpůsobit chování firewallu danému protokolu. Činnost inspekčních modulů bude objasněna na dvou jednoduchých příkladech: 1. Inspekční modul protokolu HTTP sleduje komunikaci klientů (prohlížečů) s WWW servery a může blokovat přístup na určité stránky či stahování některých typů objektů (např. obrázky, reklamy či zvukové soubory). 2. Při použití FTP v aktivním režimu otevírá datové spojení server zpět na klienta. Za normálních okolností není možné přes firewall (resp. firewall s překladem adres) takovéto spojení navázat a FTP je možné používat pouze v pasivním režimu. Inspekční modul FTP však rozpozná, že se jedná o FTP v aktivním režimu a zajistí otevření příslušného portu a přesměrování spojení na odpovídajícího klienta v lokální síti. Uživatel v lokální síti pak není firewallem omezován a může používat FTP v obou režimech. 176

177 12.4 Skupiny URL Inspekční modul se aktivuje, pokud je uveden v definici služby a příslušná komunikace je povolena. Každý inspekční modul obsluhuje protokol, pro který je určen, a službu, v jejíž definici je použit. Ve výchozí konfiguraci WinRoute jsou všechny dostupné inspekční moduly použity v definici příslušných služeb (a budou tedy automaticky aplikovány na odpovídající komunikaci), s výjimkou inspekčních modulů protokolů pro hlasové služby SIP a H.323 (SIP a H.323 jsou komplexní protokoly a inspekční moduly nemusí v některých konfiguracích fungovat správně). Chceme-li explicitně aplikovat inspekční modul na jinou komunikaci, musíme bud definovat novou službu s použitím tohoto modulu nebo nastavit inspekční modul přímo v příslušném komunikačním pravidle. Příklad: Chceme provádět inspekci protokolu HTTP na nestandardním portu Definujeme novou službu: protokol TCP, port 8080, inspekční modul HTTP. Tím je zajištěno, že na komunikaci protokolem TCP na portu 8080 procházející přes WinRoute bude automaticky aplikován inspekční modul protokolu HTTP. Poznámky: 1. Inspekční moduly obecně nelze použít pro zabezpečenou komunikaci (SSL/TLS). V tomto případě WinRoute vidí pouze binární data komunikaci nelze dešifrovat. 2. V některých případech nemusí být aplikace inspekčního modulu na určitou komunikaci žádoucí. Nastane-li tato situace, je možné příslušný inspekční modul vyřadit. Podrobnosti naleznete v kapitole Skupiny URL Skupiny URL slouží ke snadné a přehledné definici pravidel pro HTTP (viz kapitola 9.1). Chcete-li např. uživateli (či skupině uživatelů) zakázat přístup k určité skupině WWW stránek, není nutné vytvářet pro každou stránku pravidlo, stačí definovat skupinu URL a poté vytvořit jedno pravidlo pro tuto skupinu. Pravidlo pro skupinu URL je zpracováno podstatně rychleji, než velké množství pravidel pro jednotlivá URL. Skupiny URL se definují v sekci Konfigurace Filtrování obsahu Pravidla pro HTTP, záložka Skupiny URL. Zaškrtávací pole vedle každého URL slouží k jeho aktivaci a deaktivaci. Takto můžete URL dočasně vyřadit ze skupiny bez nutnosti jej odebírat a poté znovu přidávat. Poznámka: Výchozí instalace WinRoute obsahuje předdefinovanou skupinu URL: Ads/Banners typická URL stránek zobrazujících reklamy, reklamních pruhů na stránkách apod. 177

178 Kapitola 12 Definice Obrázek 12.9 Skupiny URL Správce WinRoute může tuto skupinu použít, případně upravit dle vlastního uvážení. Po stisknutí tlačítka Přidat se zobrazí dialog, v němž lze vytvořit novou skupinu nebo přidat URL do již existující skupiny. Obrázek Definice položky skupiny URL a/nebo nové skupiny Skupina Jméno skupiny, kam má být URL přidáno. V této položce je možné: vybrat některou z existujících skupin zadat jméno nové (dosud neexistující) skupiny tím dojde k vytvoření nové skupiny, do které bude zadané URL zařazeno. 178

179 12.4 Skupiny URL URL URL, které má být do skupiny přidáno. Může být zadáno následovně: kompletní adresa serveru, dokumentu nebo stránky bez specifikace protokolu ( podřetězec se speciálními znaky * a?. Hvězdička nahrazuje libovolný počet znaků, otazník právě jeden znak. Příklady: konkrétní stránka všechna URL začínající www. všechna URL na serveru (tento zápis je ekvivalentní výrazu *sex* všechna URL obsahující řetězec sex *sex??.cz* všechna URL obsahující řetězce typu sexxx.cz, sex99.cz atd. Popis Textový popis významu zadaného URL (pro snazší orientaci). 179

180 Kapitola 13 Uživatelské účty a skupiny Uživatelské účty ve WinRoute slouží pro lepší řízení přístupu uživatelů z lokální sítě ke službám v Internetu. Uživatelský účet může být použit také pro přístup ke správě WinRoute pomocí programu Administration Console. WinRoute podporuje několik různých způsobů uložení uživatelských účtů a skupin v kombinaci s různými způsoby ověřování uživatelů: Interní databáze uživatelů Uživatelské účty a skupiny uživatelů jsou uloženy přímo ve WinRoute, a to včetně hesla. Při ověřování uživatele se zadané uživatelské jméno zkontroluje s údaji v interní databázi. Tento způsob uložení účtů a ověřování uživatelů je vhodný především pro sítě bez domény a pro speciální administrátorské účty (i při výpadku sítě se lze přihlásit a ověřit lokálně). V sítích s doménou (Windows NT nebo Active Directory) však představují lokální účty ve WinRoute značné zvýšení administrativních nároků účty a hesla je nutné udržovat na dvou místech (doména a WinRoute). Interní databáze uživatelů s ověřováním v doméně Uživatelské účty jsou uloženy ve WinRoute, ale uživatelé se ověřují v doméně Windows NT nebo Active Directory (tzn. v uživatelském účtu ve WinRoute není uloženo heslo). Uživatelské jméno ve WinRoute a v doméně musí být totožné. Z hlediska administrativy je tento způsob uložení účtů a ověřování uživatelů podstatně méně náročný pokud si např. uživatel chce změnit heslo, stačí jej změnit v doméně a tato změna se automaticky promítne také do účtu ve WinRoute. Uživatelské účty ve WinRoute navíc není nutné vytvářet ručně, lze je importovat z příslušné domény. Automatický import účtů z Active Directory Při použití Active Directory (Windows 2000 Server / Windows Server 2003) lze nastavit tzv. automatický import uživatelských účtů. Ve WinRoute není třeba definovat ani importovat žádné uživatelské účty, stačí vytvořit šablonu, podle které budou uživateli nastaveny specifické parametry pro WinRoute (např. přístupová práva, pravidla pro obsah WWW stránek, kvóty objemu přenesených dat apod.). Uživatelský účet bude do WinRoute automaticky importován po prvním úspěšném přihlášení uživatele. Parametry nastavené šablonou lze v případě potřeby u konkrétních účtů změnit. 180

181 13.1 Zobrazení a definice uživatelských účtů Poznámka: Tento způsob spolupráce s Active Directory je určen zejména pro zachování zpětné kompatibility se staršími verzemi WinRoute. V případě čisté instalace WinRoute doporučujeme použít transparentní spolupráci s Active Directory. Transparentní spolupráce s Active Directory (mapování domény) WinRoute může používat přímo účty a skupiny uložené v Active Directory neprovádí se žádný import do lokální databáze. Specifické parametry pro WinRoute jsou dodány šablonou účtu, případně je lze nastavit individuálně (stejně jako v předchozím případě). Tento způsob je administrativně nejméně náročný (veškerá správa uživatelských účtů a skupin probíhá pouze v Active Directory) a jako jediný umožňuje použití účtů z více různých Active Directory domén. Poznámka: V případě ověřování uživatelů v doméně (tj. všechny popsané způsoby s výjimkou prvního) je doporučeno vytvořit ve WinRoute alespoň jeden lokální účet s přístupem ke správě pro čtení i zápis, resp. ponechat originální účet Admin. Tento účet umožní připojení ke správě WinRoute i při výpadku sítě nebo doménového serveru Zobrazení a definice uživatelských účtů K definici lokálních uživatelských účtů, importu účtů do lokální databáze a nastavení parametrů účtů mapovaných z domény slouží sekce Uživatelé a skupiny Uživatelé, záložka Uživatelské účty. Obrázek 13.1 Uživatelské účty ve WinRoute 181

182 Kapitola 13 Uživatelské účty a skupiny Doména Volba Doména umožňuje vybrat doménu, pro kterou budeme definovat uživatelské účty a další parametry. V této položce lze zvolit některou z mapovaných Active Directory domén (viz kapitola 13.4) nebo lokální (interní) databázi uživatelů. Vyhledávání Funkce Hledat umožňuje zadat filtr pro zobrazení uživatelských účtů. Vyhledávání je interaktivní s každým zadaným (resp. smazaným) znakem se zobrazí všechny účty obsahující zadaný řetězec znaků v položce Jméno, Celé jméno nebo Popis. Kliknutím na ikonu vedle pole pro zadání hledaného řetězce se filtr zruší a zobrazí se všechny uživatelské účty ve vybrané doméně (pokud je pole Hledat prázdné, ikona pro zrušení filtru je skryta). Vyhledávání je užitečné zejména při velkém počtu uživatelů, kdy by nalezení požadovaného účtu klasickou cestou bylo značně zdlouhavé. Zobrazení / skrytí zakázaných účtů Některé uživatelské účty mohou být ve WinRoute zakázány (zablokovány). Volba Skrýt zakázané uživatelské účty umožňuje zobrazit pouze aktivní (povolené) účty, což zpřehledňuje seznam účtů. Šablona účtu Parametry, které jsou pro všechny účty (resp. většinu účtů) shodné, lze definovat hromadně tzv. šablonou. Použití šablony výrazně zjednodušuje správu uživatelských účtů společné parametry stačí nastavit pouze jednou v definici šablony. U vybraných účtů (např. administrátorských) je možné nastavit všechny parametry individuálně bez použití šablony. Šablona účtu je specifická pro vybranou doménu (resp. lokální databázi uživatelů). Šablona obsahuje nastavení uživatelských práv, kvót objemu přenesených dat a pravidel pro komponenty WWW stránek (podrobný popis jednotlivých parametrů viz kapitola 13.2). Lokální uživatelské účty Volbou Lokální databáze uživatelů v položce Doména se zobrazí lokální uživatelské účty ve WinRoute (všechny informace o těchto účtech jsou uloženy v konfigurační databázi WinRoute). Pro účty v lokání databázi jsou k dispozici následující volby: Přidání, změna a odebrání účtu Pomocí tlačítek Přidat, Změnit a Odebrat lze vytvářet, upravovat a rušit lokální uživatelské účty dle potřeby (podrobnosti viz kapitola 13.2). Po označení dvou nebo více účtů (s pomocí kláves Ctrl a Shift) lze provést tzv. hromadnou změnu účtů, tj. nastavení určitých parametrů všem označeným účtům. 182

183 13.2 Lokální uživatelské účty Import účtů z domény Do lokální databáze uživatelů lze importovat účty z domény Windows NT nebo Active Directory. Jedná se de facto o automatické vytvoření lokálních účtů odpovídajících vybraným doménovým účtům s ověřováním v příslušné doméně. Podrobné informace o importu uživatelských účtů naleznete v kapitole Import účtů je vhodné použít v případě domény Windows NT. Při použití Active Directory domény je výhodnější využít transparentní spolupráci s Active Directory (mapování domény viz kapitola 13.4). Mapované účty z Active Directory domény Výběrem některé z mapovaných Active Directory domén v položce Doména se zobrazí seznam uživatelských účtů v této doméně. Změna účtu U mapovaných účtů lze nastavit parametry specifické pro WinRoute (podrobnosti viz kapitola 13.2). Tato nastavení budou uložena do konfigurační databáze WinRoute. Údaje uložené v Active Directory (uživatelské jméno, celé jméno, e- mailovou adresu) a způsob ověřování uživatele nelze změnit. Poznámka: Po označení dvou nebo více účtů (s pomocí kláves Ctrl a Shift) lze provést tzv. hromadnou změnu účtů, tj. nastavení určitých parametrů všem označeným účtům. V mapovaných Active Directory doménách nelze vytvářet ani rušit uživatelské účty. Tyto akce musí být prováděny přímo v databázi Active Directory na příslušném doménovém serveru. Rovněž není možný import uživatelských účtů taková akce nemá v případě mapované domény smysl Lokální uživatelské účty Lokální účty jsou účty vytvořené v Administration Console nebo importované z domény. Tyto účty jsou uloženy v konfigurační databázi WinRoute (fyzicky v souboru user.cfg v instalačním adresáři WinRoute). Tyto účty lze využít zejména v prostředích bez domény a pro speciální účely (např. pro správu firewallu). Nezávisle na tom, jak byl konkrétní účet vytvořen, může být každý uživatel ověřován v interní databázi WinRoute, v Active Directory nebo v NT doméně. Základní administrátorský účet se vytváří přímo během instalace WinRoute. Tento účet má plná práva pro správu WinRoute a může být odstraněn, pokud existuje alespoň jeden další účet s plnými právy ke správě. 183

184 Kapitola 13 Uživatelské účty a skupiny Upozornění: 1. Hesla ke všem uživatelským účtům by měla být důsledně uchovávána v tajnosti, aby nemohlo dojít k jejich zneužití neoprávněnou osobou. 2. Odstraníte-li poslední účet s plnými právy ke správě a odhlásíte se z programu Administration Console, nebude již možné se ke správě WinRoute přihlásit. V takovém případě bude při dalším startu WinRoute Firewall Engine automaticky vytvořen lokální uživatelský účet Admin s prázdný heslem. 3. V případě zapomenutí administrátorského hesla kontaktujte technickou podporu firmy Kerio Technologies (viz Vytvoření lokálního uživatelského účtu Přepneme se do sekce Uživatelé a skupiny Uživatelé, záložka Uživatelské účty. V položce Doména zvolíme Lokální databáze uživatelů. Obrázek 13.2 Lokální uživatelské účty ve WinRoute Stisknutím tlačítka Přidat se zobrazí průvodce vytvořením nového uživatelského účtu. Krok 1 základní údaje Jméno Přihlašovací jméno uživatele. Upozornění: V uživatelském jméně se nerozlišují malá a velká písmena. Nedoporučuje se používat v uživatelském jméně české znaky (tj. písmena s diakritikou) mohlo by dojít k problémům s přihlašováním pomocí WWW rozhraní. 184

185 13.2 Lokální uživatelské účty Obrázek 13.3 Vytvoření uživatelského účtu základní parametry Celé jméno Plné jméno (typicky jméno a příjmení daného uživatele). Popis Textový popis uživatele (např. funkce). Položky Celé jméno a Popis mají pouze informativní charakter. Mohou obsahovat libovolné informace nebo nemusejí být vyplněny vůbec. ová adresa ová adresa uživatele pro zasílání výstrah (viz kapitola 17.3) a dalších zpráv (např. varování o překročení limitu objemu přenesených dat). Pro efektivní využití všech funkcí WinRoute je třeba každému uživateli nastavit platnou ovou adresu. Poznámka: Pro zasílání ových zpráv uživatelům musí být ve WinRoute nastaven server odchozí pošty. Podrobnosti naleznete v kapitole Ověřování Způsob ověřování uživatele (viz dále). 185

186 Kapitola 13 Uživatelské účty a skupiny Účet je zablokován Dočasné zrušení ( vypnutí ) účtu bez nutnosti jej odstraňovat. Poznámka: V průvodci pro vytvoření nového účtu lze tuto volbu využít např. pro vytvoření účtu uživateli, který jej nebude používat ihned (nový zaměstnanec, který dosud nenastoupil na své místo apod.). Šablona domény Volba způsobu, jakým budou nastaveny parametry tohoto uživatelského účtu (přístupová práva, kvóty objemu přenesených dat a pravidla pro obsah WWW stránek). Tyto parametry mohou být definovány šablonou příslušné domény (viz kapitola 13.1) nebo nastaveny individuálně pro konkrétní účet. Šablonu je vhodné použít pro standardní účty v dané doméně (např. účty běžných uživatelů). Definice účtů se tím výrazně zjednoduší průvodce vytvořením účtu bude zkrácen o 3 kroky. Individuální nastavení je vhodné zejména pro účty se speciálními právy (např. účty pro správu WinRoute). Těchto účtů bývá zpravidla malý počet, a proto jejich vytvoření a individuální nastavení parametrů není příliš náročné. Možné způsoby ověřování: Interní databáze uživatelů Uživatel je ověřován pouze v rámci WinRoute. V tomto případě je potřeba zadat heslo do položek Heslo a Potvrzení hesla (své heslo pak může uživatel sám změnit pomocí WWW rozhraní viz kapitola 11). Upozornění: 1. Heslo smí obsahovat pouze tisknutelné znaky (písmena, číslice, interpunkční znaménka). V hesle se rozlišují malá a velká písmena. Nedoporučuje se používat v hesle české znaky (tj. písmena s diakritikou) mohlo by dojít k problémům s přihlašováním do WWW rozhraní. 2. Při tomto způsobu ověřování uživatelů nelze použít automatické ověřování uživatelů metodou NTLM (viz kapitola 22.3). Tyto účty rovněž nelze použít pro přístup do rozhraní Clientless SSL-VPN (viz kapitola 21). NT doména / Kerberos 5 Uživatel bude ověřován v doméně Windows NT (Windows NT 4.0) nebo v Active Directory (Windows 2000/2003). Parametry pro ověřování uživatelů v NT doméně a/nebo Active Directory je třeba nastavit v záložce Active Directory / NT doména sekce Uživatelé. Je-li nastaveno ověřování v Active Directory i v NT doméně, pak má Active Directory přednost. Poznámka: Nebude-li povoleno ověřování ani v Active Directory ani v NT doméně, pak budou uživatelské účty s tímto typem ověřování neaktivní. Podrobnosti viz kapitola

187 13.2 Lokální uživatelské účty Krok 2 skupiny Obrázek 13.4 Vytvoření uživatelského účtu skupiny V tomto dialogu lze (tlačítky Přidat a Odebrat) přidat nebo odebrat skupiny, do kterých má být uživatel zařazen (skupiny se definují v sekci Uživatelé a skupiny Skupiny viz kapitola 13.5). Při definici skupin lze stejným způsobem do skupin přidávat uživatele nezáleží na tom, zda budou nejprve vytvořeny skupiny nebo uživatelské účty. TIP: Při přidávání skupin lze označit více skupin najednou přidržením klávesy Ctrl nebo Shift. Krok 3 přístupová práva Každý uživatel musí mít nastavenu jednu ze tří úrovní přístupových práv. Nemá přístup ke správě Uživatel nemá práva pro přihlášení ke správě WinRoute. Toto nastavení je typické pro většinu uživatelů konfigurační úkony by měl provádět pouze jeden nebo několik správců. Přístup pouze pro čtení Uživatel se může přihlásit ke správě WinRoute, může však pouze prohlížet nastavení a záznamy, nemá právo provádět žádné změny. Přístup pro čtení i zápis Uživatel má plná práva ke správě, je ekvivalentní uživateli Admin. Existuje-li alespoň jeden uživatel s těmito právy, může být účet Admin odstraněn. 187

188 Kapitola 13 Uživatelské účty a skupiny Obrázek 13.5 Vytvoření uživatelského účtu uživatelská práva Doplňková práva: Uživatel má právo přejít pravidla... Tato volba umožňuje uživateli měnit osobní nastavení filtrování obsahu WWW stránek nezávisle na nastavení (podrobnosti viz Krok 4 a kapitola 11.3). Uživatel může odemykat pravidla pro URL Po zaškrtnutí volby je uživateli povoleno jednorázově obejít zákaz přístupu na blokované WWW stránky na stránce s informací o zákazu se tomuto uživateli zobrazí tlačítko Odemknout. Odemknutí musí být zároveň povoleno v příslušném pravidle pro URL (podrobnosti viz kapitola 9.1). Uživatel může vytáčet telefonické připojení Uživatel má právo vytáčet a zavěšovat telefonická připojení ve WWW rozhraní (viz kapitola 11.6) nebo v Administration Console (pokud má zároveň přístup ke správě alespoň pro čtení podrobnosti viz kapitola 5.1). Poznámka: Nemá-li uživatel toto právo, nebude moci ovládat vytáčené linky ani v případě, kdy má přístup ke správě pro čtení i zápis. 188

189 13.2 Lokální uživatelské účty Uživatel se může připojovat k VPN serveru Uživatel má právo připojit se k VPN serveru ve WinRoute (aplikací Kerio VPN Client). Podrobné informace naleznete v kapitole 20. Uživatel může používat rozhraní Clientless SSL-VPN Tento uživatel bude moci přistupovat ke sdíleným souborů a složkám v lokální síti prostřednictvím webového rozhraní Clientless SSL-VPN. Podrobnosti viz kapitola 21. Uživatel může používat P2P sítě Na tohoto uživatele nebude aplikováno blokování komunikace při detekci P2P (Peerto-Peer) sítí. Podrobnosti viz kapitola TIP: Přístupová práva mohou být nastavena šablonou uživatelského účtu. Krok 4 kvóta objemu přenesených dat Obrázek 13.6 Vytvoření uživatelského účtu kvóta objemu dat 189

190 Kapitola 13 Uživatelské účty a skupiny V tomto kroku průvodce lze nastavit denní a měsíční limit objemu dat přenesených daným uživatelem přes firewall a akce, které budou provedeny. Kvóta objemu přenesených dat Nastavení limitů: Povolit denní limit nastavení denní kvóty objemu přenesených dat. V položce Směr lze vybrat, jaký směr přenosu dat bude sledován (download přijímaná data, upload vysílaná data, download i upload součet v obou směrech). Do položky Kvóta je třeba zadat požadovaný limit ve vybraných jednotkách (megabyty nebo gigabyty). Povolit měsíční limit nastavení měsíční kvóty. Způsob nastavení je identický jako v případě denního limitu. Akce při překročení kvóty Nastavení akcí, které mají být provedeny při překročení některého limitu: Blokovat veškerou další komunikaci uživatel bude moci dále komunikovat v rámci již otevřených spojení, nebude však moci navázat žádná nová spojení (tzn. např. připojit se na nový server, stáhnout další soubor v FTP relaci apod.). Neblokovat další komunikaci (pouze omezit rychlost...) uživateli bude omezena rychlost internetové komunikace (tzv. šířka pásma). Nic nebude blokováno, ale uživatel zaznamená výrazné zpomalení internetové komunikace (což by jej mělo přimět k omezení jeho aktivit). Podrobné informace viz kapitola 7. Zapnutím volby Při překročení kvóty upozornit uživatele em bude uživateli zasláno em varování při překročení některého z nastavených limitů. Podmínkou je, aby měl uživatel nastavenu platnou ovou adresu (viz Krok 1 tohoto průvodce). Ve WinRoute musí být nastaven server odchozí pošty (viz kapitola 16.4). Má-li být při překročení kvóty některým uživatelem varován také správce WinRoute, můžeme nastavit příslušnou výstrahu v sekci Konfigurace Záznamy & výstrahy. Podrobnosti naleznete v kapitole Poznámky: 1. Je-li při překročení limitu zablokována komunikace, platí omezení až do konce příslušného období (tj. dne nebo měsíce). Zrušení omezení před skončením tohoto období je možné: (dočasným) vypnutím příslušného limitu, zvýšením tohoto limitu nebo změnou akce na Neblokovat další komunikaci, vynulováním statistik příslušného uživatele (viz kapitola 18.3). 2. Sledování kvóty (resp. provádění výše uvedených akcí při jejím překročení) může být nežádoucí, pokud je uživatel přihlášen přímo na firewallu. V takovém případě by totiž mohlo došlo k blokování komunikace firewallu a tím i 190

191 13.2 Lokální uživatelské účty všech uživatelů v lokální síti. V sekci Konfigurace Další volby, záložka Kvóta / Statistiky je umístěna volba Neprovádět akce pro kvótu v případě, že se jedná o firewall. Po zapnutí této volby nebude při překročení kvóty provedena žádná akce, pokud bude příslušný uživatel přihlášen z firewallu. Ve výchozí konfiguraci je tato volba zapnuta. Viz též kapitola TIP: Kvóty objemu přenesených dat a odpovídající akce mohou být nastaveny šablonou uživatelského účtu. Krok 5 pravidla pro kontrolu obsahu WWW stránek Obrázek 13.7 Vytvoření uživatelského účtu pravidla pro obsah WWW stránek V tomto kroku průvodce je možné provést specifické nastavení filtrování obsahu WWW stránek pro konkrétního uživatele. Výchozí nastavení (při definici nového uživatelského účtu) se přebírá z globálních pravidel (sekce Konfigurace Filtrování obsahu Pravidla pro HTTP, záložka Pravidla pro obsah). Podrobnosti viz kapitola 9.2). Poznámka: Tato nastavení si uživatel může sám měnit na příslušné stránce WWW rozhraní WinRoute (viz kapitola 11.3). Má-li uživatel právo přejít pravidla pro obsah WWW stránek, může nastavení měnit libovolně. V opačném případě může povolovat nebo zakazovat pouze ty prvky, které má v nastavení uživatelského účtu povoleny. TIP: Pravidla pro obsah WWW stránek mohou být nastavena šablonou uživatelského účtu. 191

192 Kapitola 13 Uživatelské účty a skupiny Krok 6 IP adresy uživatele Obrázek 13.8 Vytvoření uživatelského účtu IP adresy pro automatické přihlašování a VPN klienta Pokud uživatel pracuje na vyhrazeném počítači (tj. nesdílí počítač s jinými uživateli) a tento počítač má pevnou IP adresou (statickou nebo rezervovanou na DHCP serveru), pak může být daný uživatel z této IP adresy automaticky ověřován. V praxi to znamená, že při zachycení komunikaci z této IP adresy WinRoute předpokládá, že se jedná o aktivitu majitele příslušného počítače, a nevyžaduje ověření uživatele. Vše (tj. pravidla pro přístup, sledování statistik atd.) pak funguje stejně, jako kdyby se uživatel přihlásil k firewallu svým uživatelským jménem a heslem. Z výše uvedeného popisu logicky vyplývá, že z konkrétní IP adresy může být automaticky ověřován nejvýše jeden uživatel. WinRoute při definici uživatelského účtu kontroluje, zda není zadaná IP adresa již použita pro automatické ověřování jiného uživatele. Automatické ověřování uživatele lze nastavit bud z firewallu (tj. počítače, na kterém je WinRoute nainstalován) nebo z libovolného jiného počítače, případně více počítačů (např. pokud má uživatel kromě své pracovní stanice také notebook). Pro specifikaci více počítačů lze využít skupinu IP adres (viz kapitola 12.1). Upozornění: Automatické přihlašování uživatelů představuje určité bezpečnostní riziko. Pokud k počítači, ze kterého je uživatel automaticky ověřován, získá přístup neoprávněná osoba, pak může na tomto počítači pracovat pod identitou automaticky ověřeného uživatele. Automatické ověřování by mělo být doplněno ochranou typicky ověřováním uživatele při přístupu do systému. 192

193 13.3 Lokální databáze uživatelů: externí ověřování a import účtů Sekce Adresa VPN klienta umožňuje nastavit IP adresu, která bude vždy přidělována VPN klientovi tohoto uživatele. Tímto způsobem lze zajistit, že i při přístupu do lokální sítě prostřednictvím aplikace Kerio VPN Client bude mít uživatel pevnou IP adresu. Tuto adresu pak můžeme přidat do seznamu IP adres, ze kterých bude uživatel automaticky přihlašován. Podrobné informace o proprietárním VPN řešení firmy Kerio Technologies naleznete v kapitole 20. Úprava uživatelského účtu Tlačítko Změnit otevírá dialog pro změnu parametrů uživatelského účtu. Tento dialog obsahuje výše popsané části průvodce vytvořením účtu, uspořádané do záložek v jednom okně Lokální databáze uživatelů: externí ověřování a import účtů Uživatelé v lokální databázi mohou být ověřováni v Active Directory doméně nebo v doméně Windows NT (viz kapitola 13.2, první krok průvodce). Pro použití těchto způsobů ověřování je třeba nastavit příslušné domény v záložce Volby pro ověřování, sekce Lokální databáze uživatelů. Obrázek 13.9 Nastavení domén pro ověřování lokálních účtů Active Directory Volba Povolit ověřování v doméně Active Directory zapíná ověřování uživatelů z lokální databáze v zadané Active Directory doméně. Pro správnou funkci ověřování uživatelů v Active Directory doméně musí být splněny dvě podmínky: 1. Počítač s WinRoute musí být členem této domény. 2. Jako primární DNS server v operačním systému musí být nastaven doménový server (řadič) Active Directory. 193

194 Kapitola 13 Uživatelské účty a skupiny Je-li v operačním systému nastaven DNS server sám na sebe, pak musí být doménový řadič Active Directory uveden v konfiguraci modulu DNS forwarder na prvním místě v seznamu DNS serverů (podrobnosti viz kapitola 5.3). Poznámka: Uživatelé mohou být ověřováni také ve všech doménách, které má tato doména nastavené jako důvěryhodné. NT doména Volba Povolit NT ověřování zapíná ověřování uživatelů metodou NTLM v zadané doméně. Upozornění: 1. Počítač, na kterém je WinRoute nainstalován, musí být členem do této domény. 2. Ověřování v příslušné NT doméně musí být povoleno vždy, pokud chceme využívat možnost ověřování z WWW prohlížečů metodou NTLM (viz kapitola 8.1). V případě domény Windows 2000/2003 je tedy potřeba nastavit ověřování jak v Active Directory, tak v NT doméně. Automatický import uživatelských účtů z Active Directory Při použití Active Directory lze nastavit tzv. automatický import uživatelských účtů. Specifické parametry pro WinRoute (např. přístupová práva, pravidla pro obsah WWW stránek, kvóty objemu přenesených dat apod.) budou nastaveny podle šablony pro lokální databázi uživatelů (viz kapitola 13.1), případně je lze u vybraných účtů nastavit individuálně. Uživatelský účet bude do WinRoute importován po prvním úspěšném přihlášení uživatele. Poznámka: Tento způsob importu uživatelských účtů slouží především pro zachování zpětné kompatibility se staršími verzemi WinRoute. Výhodnější a jednodušší je použít transparentní podporu Active Directory (mapování domény viz kapitola 13.4). Uživatelské účty budou importovány z domény zadané v položce Jméno Active Directory domény. Povolit automatický import a zadat ostatní potřebné parametry lze po stisknutí tlačítka Nastavit automatický import. Pro import účtů musí WinRoute znát doménový server příslušné Active Directory domény. WinRoute jej může automaticky vyhledat nebo se vždy připojovat ke specifikovanému serveru. Automatické vyhledávání serveru zajišt uje vyšší spolehlivost v případě výpadku některého z doménových serverů. V doméně s jedním serverem naopak doporučujeme server specifikovat (z důvodu rychlosti). 194

195 13.3 Lokální databáze uživatelů: externí ověřování a import účtů Obrázek Nastavení automatického importu účtů z Active Directory Dále je třeba zadat přihlašovací údaje uživatele s právy pro čtení databáze Active Directory (libovolný uživatelský účet z příslušné domény). Poznámka: Automatický import uživatelů nelze použít společně s mapováním Active Directory domén (viz kapitola 13.4) importem by vznikaly kolize mezi lokální databází uživatelů a mapovanou doménou. Je-li to možné, doporučujeme použít mapování Active Directory Ruční import uživatelských účtů Do lokální databáze uživatelů lze importovat vybrané účty z domény Windows NT nebo Active Directory. Import uživatelského účtu znamená vytvoření lokálního účtu se stejným uživatelským jménem a ověřováním v příslušné doméně. Specifické parametry pro WinRoute (např. přístupová práva, pravidla pro obsah WWW stránek, kvóty objemu přenesených dat apod.) budou nastaveny podle šablony pro lokální databázi uživatelů (viz kapitola 13.1), případně je lze u vybraných účtů nastavit individuálně. U všech importovaných účtů bude nastaven typ ověřování Windows NT / Active Directory. Poznámka: Tento způsob importu uživatelských účtů je vhodný zejména při použití Windows NT domény (doménový server s operačním systémem Windows NT Server). V případě Active Directory domény je výhodnější a jednodušší je použít transparentní podporu Active Directory (mapování domény viz kapitola 13.4). Import uživatelských účtů se provede stisknutím tlačítka Importovat v záložce Uživatelské účty. V dialogu pro import účtů je nejprve třeba zvolit typ domény, z níž mají být 195

196 Kapitola 13 Uživatelské účty a skupiny účty importovány, a podle typu domény pak zadat příslušné parametry: NT doména pro import účtů musí být zadáno jméno domény. Počítač s WinRoute musí být členem této domény. Obrázek Import účtů z domény Windows NT Active Directory pro import účtů musí být zadáno jméno Active Directory domény, DNS jméno nebo IP adresa doménového serveru a přihlašovací údaje pro čtení databáze uživatelů (libovolný uživatelský účet z příslušné domény). Obrázek Import účtů z Active Directory Po úspěšném spojení s příslušným doménovým serverem se zobrazí seznam všech účtů v zadané doméně. Po výběru požadovaných účtů a potvrzení dialogu budou účty importovány do lokální databáze uživatelů Mapování Active Directory domén Ve WinRoute lze přímo používat uživatelské účty z jedné nebo více Active Directory domén. Tato funkce se nazývá transparentní podpora Active Directory nebo mapování Active Directory domén. Základní výhodou je, že veškerá správa uživatelských účtů a skupin probíhá pouze v databázi Active Directory (použitím standardních systémových 196

197 13.4 Mapování Active Directory domén nástrojů). Ve WinRoute lze pro každou doménu definovat šablonu, podle které budou nastaveny specifické parametry účtů pro WinRoute (přístupová práva, kvóty objemu dat a pravidla pro obsah WWW stránek viz kapitola 13.1). V případě potřeby lze u konkrétních účtů tyto parametry nastavit individuálně. Poznámka: Doménu Windows NT nelze popsaným způsobem mapovat. V případě Windows NT domény doporučujeme importovat uživatelské účty do lokální databáze uživatelů (viz kapitola 13.3) Podmínky použití mapovaných domén Pro správnou funkci ověřování uživatelů v mapovaných Active Directory doménách musí být splněny tyto podmínky: V případě jedné mapované domény: 1. Počítač s WinRoute musí být členem příslušné Active Directory domény. 2. Jako primární DNS server v operačním systému musí být nastaven doménový server (řadič) Active Directory. Je-li v operačním systému nastaven DNS server sám na sebe, pak musí být doménový řadič Active Directory uveden v konfiguraci modulu DNS forwarder na prvním místě v seznamu DNS serverů (podrobnosti viz kapitola 5.3). V případě mapování více domén: 1. Počítač s WinRoute musí být členem jedné z mapovaných domén. 2. Tato doména musí důvěřovat všem ostatním doménám, které jsou ve WinRoute mapovány (podrobnosti viz dokumentace k operačnímu systému na příslušném doménovém serveru). 3. Pro nastavení DNS platí stejná pravidla jako v případě mapování jedné domény (jako DNS server musí být nastaven doménový server té domény, jíž je počítač s WinRoute členem). Mapování jedné domény K nastavení mapování Active Directory domén slouží záložka Active Directory v sekci Uživatelé a skupiny Uživatelé. Není-li dosud definováno mapování žádné domény nebo je-li definována pouze jedna doména, obsahuje záložka Active Directory přímo parametry potřebné pro mapování domény. 197

198 Kapitola 13 Uživatelské účty a skupiny Obrázek Mapování Active Directory domény Mapování Active Directory V horní části záložky Active Directory lze povolit nebo zakázat mapování Active Directory domény do WinRoute. V položce Jméno domény Active Directory je třeba uvést plné DNS jméno mapované domény (tj. např. firma.cz, nikoliv pouze firma). Doporučujeme vyplnit také stručný textový popis domény (zvyšuje přehlednost zejména při větším počtu mapovaných domén). Přístup do domény V sekci Přístup do domény je třeba zadat přihlašovací jméno a heslo uživatelského účtu s právy čtení databáze Active Directory (lze použít libovolný uživatelský účet z příslušné domény, není-li zablokován). Tlačítko Upřesnění otevírá dialog pro nastavení parametrů komunikace s doménovými servery: 198

199 13.4 Mapování Active Directory domén Obrázek Upřesňující nastavení přístupu do Active Directory Výběr doménového serveru WinRoute může automaticky vyhledat doménový server nebo se vždy připojovat ke specifikovanému serveru. Automatické vyhledávání serveru zajišt uje vyšší spolehlivost v případě výpadku některého z doménových serverů. V doméně s jedním serverem naopak doporučujeme server specifikovat (z důvodu rychlosti). Šifrované spojení pro zvýšení bezpečnosti lze použít při komunikaci s doménovým serverem šifrování (komunikaci pak nebude možné odposlouchávat). V tomto případě musí být správně nastavena podpora šifrovaného spojení na doménovém serveru. Podrobnosti naleznete v dokumentaci k příslušnému operačnímu systému. Podpora NT ověřování Pro Active Directory doménu lze zapnout podporu ověřování metodou NTLM. Tato podpora musí být zapnuta, pokud chceme využívat automatické ověřování uživatelů pomocí WWW prohlížečů (viz kapitola 22.3). Pro ověřování metodou NTLM je třeba zadat název NT domény odpovídající uvedené Active Directory doméně. Chceme-li mapovat uživatelské účty z několika různých Active Directory domén, použijeme tlačítko Definovat více domén. Mapování dvou a více domén Po stisknutí tlačítka Definovat více domén se záložka Active Directory přepne do režimu seznamu domén. 199

Pˇ ríruˇ cka administrátora Kerio Technologies

Pˇ ríruˇ cka administrátora Kerio Technologies Příručka administrátora Kerio Technologies C 2001-2004 Kerio Technologies. Všechna práva vyhrazena. Datum vydání: 11. června 2004 Tento produkt obsahuje následující knihovny volně šiřitelné ve formě zdrojových

Více

Pˇ ríruˇ cka administrátora Kerio Technologies

Pˇ ríruˇ cka administrátora Kerio Technologies Příručka administrátora Kerio Technologies C 1997-2005 Kerio Technologies. Všechna práva vyhrazena. Datum vydání: 25. srpna 2005 Tento manuál popisuje produkt Kerio WinRoute Firewall ve verzi 6.1.2. Změny

Více

Kerio Control. Kerio Technologies

Kerio Control. Kerio Technologies Kerio Control Příručka administrátora Kerio Technologies Kerio Technologies s.r.o. Všechna práva vyhrazena. Tento manuál popisuje konfiguraci a správu produktu Kerio Control ve verzi 7.0.1. Změny vyhrazeny.

Více

Pˇ ríruˇ cka uživatele Kerio Technologies

Pˇ ríruˇ cka uživatele Kerio Technologies Příručka uživatele Kerio Technologies C 2004 Kerio Technologies. Všechna práva vyhrazena. Datum vydání: 28. dubna 2004 Tento produkt obsahuje software vyvinutý sdružením OpenSSL Project pro použití v OpenSSL

Více

Kerio Control. Kerio Technologies

Kerio Control. Kerio Technologies Kerio Control Příručka administrátora Kerio Technologies 2013 Kerio Technologies s.r.o. Všechna práva vyhrazena. Tento manuál popisuje konfiguraci a správu produktu Kerio Control ve verzi 7.4.0. Změny

Více

Kerio Control. Kerio Technologies

Kerio Control. Kerio Technologies Kerio Control Příručka administrátora Kerio Technologies Kerio Technologies s.r.o. Všechna práva vyhrazena. Tento manuál popisuje konfiguraci a správu produktu Kerio Control ve verzi 7.0.0. Změny vyhrazeny.

Více

Kerio VPN Client. Kerio Technologies

Kerio VPN Client. Kerio Technologies Kerio VPN Client Příručka uživatele Kerio Technologies 2013 Kerio Technologies s.r.o. Všechna práva vyhrazena. Tento manuál popisuje program Kerio VPN Client ve verzi 7.3 pro Windows. Změny vyhrazeny.

Více

Pˇ ríruˇ cka administrátora Kerio Technologies

Pˇ ríruˇ cka administrátora Kerio Technologies Příručka administrátora Kerio Technologies C 2001-2003 Kerio Technologies. Všechna práva vyhrazena. Datum vydání: 20. 6. 2003 Tento produkt obsahuje kryptografické knihovny vyvinuté v projektu OpenSSL

Více

Kerio Control. Kerio Technologies

Kerio Control. Kerio Technologies Kerio Control Příručka administrátora Kerio Technologies 2011 Kerio Technologies s.r.o. Všechna práva vyhrazena. Tento manuál popisuje konfiguraci a správu produktu Kerio Control ve verzi 7.2.0. Změny

Více

Kerio Control. Kerio Technologies

Kerio Control. Kerio Technologies Kerio Control Příručka administrátora Kerio Technologies 2012 Kerio Technologies s.r.o. Všechna práva vyhrazena. Tento manuál popisuje konfiguraci a správu produktu Kerio Control ve verzi 7.4.0. Změny

Více

ESET NOD32 Antivirus. pro Kerio. Instalace

ESET NOD32 Antivirus. pro Kerio. Instalace ESET NOD32 Antivirus pro Kerio Instalace Obsah 1. Úvod...3 2. Podporované verze...3 ESET NOD32 Antivirus pro Kerio Copyright ESET, spol. s r. o. Eset software spol. s r.o. Classic 7 Business Park Jankovcova

Více

IPFW. Aplikace pro ovládání placeného připojení k Internetu. verze 1.1

IPFW. Aplikace pro ovládání placeného připojení k Internetu. verze 1.1 IPFW Aplikace pro ovládání placeného připojení k Internetu verze 1.1 Popis aplikace Aplikace IPFW (IP Firewall) je určen k řízení placeného připojení k Internetu ve spojení s elektronickým mincovníkem

Více

Pˇ ríruˇ cka uživatele Kerio Technologies

Pˇ ríruˇ cka uživatele Kerio Technologies Příručka uživatele Kerio Technologies C 1997-2005 Kerio Technologies. Všechna práva vyhrazena. Datum vydání: 25. října 2005 Tento manuál popisuje program Kerio VPN Client ve verzi 1.1.2. Změny vyhrazeny.

Více

Instalace a základní administrátorské nastavení 602LAN SUITE 5 Groupware

Instalace a základní administrátorské nastavení 602LAN SUITE 5 Groupware Instalace a základní administrátorské nastavení 602LAN SUITE 5 Groupware Obsah Úvod...2 Instalace...2 Doporučená hardwarová konfigurace......2 Podporované operační systémy......2 Ještě před instalací......2

Více

Kerio Administration Console

Kerio Administration Console Kerio Administration Console Nápověda Kerio Technologies C 1997-2006 Kerio Technologies. Všechna práva vyhrazena. Datum vydání: 10. března 2006 Tato nápověda je určena k programu Kerio Administration Console

Více

Poznámky k vydání. pro Kerio Control 7.2.1

Poznámky k vydání. pro Kerio Control 7.2.1 Poznámky k vydání pro Kerio Control 7.2.1 2011 Kerio Technologies s.r.o. Všechna práva vyhrazena. Datum: 11. října 2011 1 Představujeme Kerio Control 7.2 Řízení šířky pásma a QoS Napřed malá revoluce a

Více

Uživatelský manuál. Kerio Technologies

Uživatelský manuál. Kerio Technologies Uživatelský manuál Kerio Technologies C 1997-2003 Kerio Technologies. Všechna práva vyhrazena. Datum vydání: 24. listopadu 2003 Aktuální verze produktu: Kerio Personal Firewall 4.0.8. Změny vyhrazeny.

Více

1 Správce licencí Správce licencí Správce licencí Start > Všechny programy > IDEA StatiCa > Správce licencí Soubor > Správce licencí Licence

1 Správce licencí Správce licencí Správce licencí Start > Všechny programy > IDEA StatiCa > Správce licencí Soubor > Správce licencí Licence 1 Správce licencí Programy IDEA jsou chráněny proti neoprávněnému použití. Pro běh programu je vyžadována platná licence. Upozornění: Lokální licence na pracovní stanici a síťová licence Eleckey jsou softwarové

Více

Provozní pokyny Aplikační stránky

Provozní pokyny Aplikační stránky Před použitím tohoto zařízení si důkladně přečtěte tento manuál a mějte jej po ruce pro budoucí použití. Provozní pokyny Aplikační stránky OBSAH Jak číst tuto příručku...2 Použité symboly...2 Vyloučení

Více

Kerio VPN Client. Kerio Technologies

Kerio VPN Client. Kerio Technologies Kerio VPN Client Příručka uživatele Kerio Technologies 2013 Kerio Technologies s.r.o. Všechna práva vyhrazena. Tento manuál popisuje program Kerio VPN Client ve verzi 7.3 pro Mac OS X. Změny vyhrazeny.

Více

Instalace programu ProGEO

Instalace programu ProGEO Instalace programu ProGEO Obsah dokumentu: 1. Požadavky na systém 2. Průběh instalace 3. Aktivace zakoupené licence 4. Automatické aktualizace Updater 1. Požadavky na systém Softwarové požadavky: MicroStation

Více

Komu je tato kniha určena? Jak je kniha uspořádána? Konvence použité v té to knize. Část i základy Microsoft Windows XP Professional

Komu je tato kniha určena? Jak je kniha uspořádána? Konvence použité v té to knize. Část i základy Microsoft Windows XP Professional Obsah Poděkování Úvod Komu je tato kniha určena? Jak je kniha uspořádána? Konvence použité v té to knize podpora xix xxi xxi xxii xxiii xxiv Část i základy Microsoft Windows XP Professional KAPITOLA 1

Více

Registr práv a povinností

Registr práv a povinností Registr práv a povinností Doporučené postupy a nastavení internetového prohlížeče pro práci v aplikaci AIS RPP Doporučené postupy a nastavení internetového prohlížeče pro práci v aplikaci AIS RPP v4.0

Více

Konfigurace krok za krokem

Konfigurace krok za krokem Konfigurace krok za krokem Kerio Technologies C 2001-2003 Kerio Technologies. Všechna práva vyhrazena. Datum vydání: 17. prosince 2003 Tento manuál popisuje postup konfigurace lokální sítě s použitím produktu

Více

Příručka pro rychlou instalaci

Příručka pro rychlou instalaci Kerio Control VMware Virtual Appliance Příručka pro rychlou instalaci 2011 Kerio Technologies s.r.o. Všechna práva vyhrazena. Tento dokument popisuje instalaci a základní nastavení produktu Kerio Control

Více

BRICSCAD V15. Licencování

BRICSCAD V15. Licencování BRICSCAD V15 Licencování Protea spol. s r.o. Makovského 1339/16 236 00 Praha 6 - Řepy tel.: 235 316 232, 235 316 237 fax: 235 316 038 e-mail: obchod@protea.cz web: www.protea.cz Copyright Protea spol.

Více

Nastavení programu pro práci v síti

Nastavení programu pro práci v síti Nastavení programu pro práci v síti Upozornění: následující text nelze chápat jako kompletní instalační instrukce - jedná se pouze stručný návod, který z principu nemůže popsat všechny možné stavy ve vašem

Více

Postup instalace síťové verze Mount Blue

Postup instalace síťové verze Mount Blue Postup instalace síťové verze Mount Blue Instalace na serveru 1. Stáhněte si instalační balíček pro server ze stránek Mount Blue na adrese: http://www.mountblue.cz/download/mountblue-server-setup.exe 2.

Více

Příručka nastavení funkcí snímání

Příručka nastavení funkcí snímání Příručka nastavení funkcí snímání WorkCentre M123/M128 WorkCentre Pro 123/128 701P42171_CS 2004. Všechna práva vyhrazena. Uplatňovaná ochrana autorských práv se vztahuje na všechny formy a záležitosti

Více

APS Administrator.OP

APS Administrator.OP APS Administrator.OP Rozšiřující webový modul pro APS Administrator Přehled přítomnosti osob v oblastech a místnostech Instalační a uživatelská příručka 2004 2013,TECH FASS s.r.o., Věštínská 1611/19, Praha,

Více

VZDÁLENÉ PŘIPOJENÍ - OpenVPN. Popis a vlastnosti služby

VZDÁLENÉ PŘIPOJENÍ - OpenVPN. Popis a vlastnosti služby Příručka - Vzdálené připojení - OpenVPN 1 VZDÁLENÉ PŘIPOJENÍ - OpenVPN OBSAH Popis a vlastnosti služby Popis instalace OpenVPN klienta pro Windows Postup připojení k serveru Používání, tipy Řešení problémů

Více

Registr práv a povinností

Registr práv a povinností Registr práv a povinností Doporučené postupy a nastavení internetového prohlížeče pro práci v aplikaci AIS RPP list č.1/20 OBSAH 1 Úvod... 3 2 Doporučené nastavení prohlížeče... 4 2.1 Problém s certifikátem...

Více

Instalační příručka Command WorkStation 5.6 se sadou Fiery Extended Applications 4.2

Instalační příručka Command WorkStation 5.6 se sadou Fiery Extended Applications 4.2 Instalační příručka Command WorkStation 5.6 se sadou Fiery Extended Applications 4.2 Sada Fiery Extended Applications Package (FEA) v4.2 obsahuje aplikace Fiery pro provádění úloh souvisejících se serverem

Více

Postup přechodu na podporované prostředí. Přechod aplikace BankKlient na nový operační systém formou reinstalace ze zálohy

Postup přechodu na podporované prostředí. Přechod aplikace BankKlient na nový operační systém formou reinstalace ze zálohy Postup přechodu na podporované prostředí Přechod aplikace BankKlient na nový operační systém formou reinstalace ze zálohy Obsah Zálohování BankKlienta... 3 Přihlášení do BankKlienta... 3 Kontrola verze

Více

plussystem Příručka k instalaci systému

plussystem Příručka k instalaci systému plussystem Příručka k instalaci systému Tato příručka je určena zejména prodejcům systému a případně koncovým uživatelům. Poskytuje návod, jak provést potřebná nastavení komponent. ITFutuRe s.r.o. 26.2.2015

Více

Nápověda pro možnosti Fiery 1.3 (klient)

Nápověda pro možnosti Fiery 1.3 (klient) 2015 Electronics For Imaging. Informace obsažené v této publikaci jsou zahrnuty v Právním upozornění pro tento produkt. 5. února 2015 Obsah 3 Obsah...5 Aktivace možnosti Fiery...6 Automatická aktivace

Více

ESET CYBER SECURITY pro Mac Rychlá příručka. Pro stáhnutí nejnovější verze dokumentu klikněte zde

ESET CYBER SECURITY pro Mac Rychlá příručka. Pro stáhnutí nejnovější verze dokumentu klikněte zde ESET CYBER SECURITY pro Mac Rychlá příručka Pro stáhnutí nejnovější verze dokumentu klikněte zde ESET Cyber Security poskytuje novou úroveň ochrany před škodlivým kódem. Produkt využívá skenovací jádro

Více

Návod pro připojení k síti VŠPJ prostřednictvím VPN Vysoká škola polytechnická Jihlava

Návod pro připojení k síti VŠPJ prostřednictvím VPN Vysoká škola polytechnická Jihlava Návod pro připojení k síti VŠPJ prostřednictvím VPN Vysoká škola polytechnická Jihlava autor: OIKT 2015 Obsah Návod pro instalaci VPN... 3 Důležité upozornění... 3 Příprava na instalaci - stažení souborů...

Více

Průvodce instalací modulu Offline VetShop verze 3.4

Průvodce instalací modulu Offline VetShop verze 3.4 Průvodce instalací modulu Offline VetShop verze 3.4 Úvod k instalaci Tato instalační příručka je určena uživatelům objednávkového modulu Offline VetShop verze 3.4. Obsah 1. Instalace modulu Offline VetShop...

Více

SYSTEM EDUBASE INSTALAČNÍ PŘÍRUČKA

SYSTEM EDUBASE INSTALAČNÍ PŘÍRUČKA SYSTEM EDUBASE INSTALAČNÍ PŘÍRUČKA Tento dokument byl kompletně napsán, sestaven a vytištěn v programu dosystem - EduBase. Více informací o programu dosystem - EduBase naleznete na www.dosli.cz. VARIACE

Více

Nastavení klientských stanic pro webové aplikace PilsCom s.r.o.

Nastavení klientských stanic pro webové aplikace PilsCom s.r.o. Nastavení klientských stanic pro webové aplikace PilsCom s.r.o. Obsah 1. Obecné informace...1 2. Internetový prohlížeč...1 3. Nastavení kompatibilního zobrazení...1 4. Nastavení důvěryhodných serverů...2

Více

s anténou a podstavcem CD-ROM obsahující návod a informace o záruce Ethernetový kabel (CAT5 UTP nekřížený) ADSL kabel (standardní telefonní kabel)

s anténou a podstavcem CD-ROM obsahující návod a informace o záruce Ethernetový kabel (CAT5 UTP nekřížený) ADSL kabel (standardní telefonní kabel) ČESKY Toto zařízení lze nastavit pomocí libovolného aktuálního webového prohlížeče, např. Internet Explorer 6 nebo Netscape Navigator 6.2.3. DSL-G664T Bezdrátový ADSL směrovač Než začnete 1. Pokud jste

Více

Kerio Administration Console

Kerio Administration Console Kerio Administration Console Nápověda Kerio Technologies C 2001-2004 Kerio Technologies. Všechna práva vyhrazena. Datum vydání: 15. září 2004 Tento manuál popisuje program Kerio Administration Console

Více

APS Administrator.GS

APS Administrator.GS APS Administrator.GS Grafická nadstavba pro vizualizaci systémů APS (rozšiřující programový modul pro APS Administrator) Instalační a uživatelská příručka 2004 2015,TECH FASS s.r.o., www.techfass.cz, techfass@techfass.cz

Více

ČSOB Business Connector

ČSOB Business Connector ČSOB Business Connector Instalační příručka Člen skupiny KBC Obsah 1 Úvod... 3 2 Instalace aplikace ČSOB Business Connector... 3 3 Získání komunikačního certifikátu... 3 3.1 Vytvoření žádosti o certifikát

Více

1. Administrace služby Bezpečný Internet přes webovou aplikaci WebCare GTS

1. Administrace služby Bezpečný Internet přes webovou aplikaci WebCare GTS 1. Administrace služby Bezpečný Internet přes webovou aplikaci WebCare GTS Pro přístup do administrace služby GTS Bezpečný Internet používejte zákaznický WebCare GTS Czech, který je přístupny přes webové

Více

Enterprise Network Center

Enterprise Network Center Centralizovaný systém pro správu síťových zařízení Výchozí nastavení: Uživatelské jméno: root Heslo: root Příručka k rychlé instalaci Verze 1.2 Vydání 1, 03/2011 Copyright 2011. Všechna práva vyhrazena.

Více

!! UPOZORNĚNÍ!! Po nainstalování programu nezapomeňte instalovat Sestavy a Aktualizaci!! Pokyny k instalaci

!! UPOZORNĚNÍ!! Po nainstalování programu nezapomeňte instalovat Sestavy a Aktualizaci!! Pokyny k instalaci S B N - Start Správa bytů a nemovitostí Pokyny k instalaci!! UPOZORNĚNÍ!! Po nainstalování programu nezapomeňte instalovat Sestavy a Aktualizaci!! VYDAS software s.r.o. Zámostí 16 338 08 Zbiroh tel: 724

Více

Instalace a první spuštění programu. www.zoner.cz

Instalace a první spuštění programu. www.zoner.cz Instalace a první spuštění programu www.zoner.cz CZ Průvodce instalací Z nabídky instalačního CD vyberte Zoner Photo Studio 13 v požadované jazykové verzi * a klikněte na položku Instalace programu. Pokud

Více

CMS. Centrální monitorovací systém. Manuál

CMS. Centrální monitorovací systém. Manuál Centrální Monitorovací Systém manuál CMS Centrální monitorovací systém Manuál VARIANT plus, spol. s.r.o., U Obůrky 5, 674 01 TŘEBÍČ, tel.: 565 659 600 technická linka 565 659 630 (pracovní doba 8.00 16:30)

Více

registrace Fyzické (tj. MAC) adresy

registrace Fyzické (tj. MAC) adresy zjištění MAC (Fyzické) adresy Stiskněte současně + R (nebo myší zvolte Start Spustit...) Do okna Spustit zadejte cmd /K ipconfig /all. V seznamu, který uvidíte, vyhledejte sekci Adaptér sítě Ethernet Připojení

Více

CS OTE. Dokumentace pro externí uživatele

CS OTE. Dokumentace pro externí uživatele CS OTE OTE Launcher Manager 1/13 Obsah Použité zkratky... 2 1 Úvod... 3 2 Nastavení systému uživatele... 3 2.1 Konfigurace stanice... 3 2.2 Distribuce aplikace OTE Launcher Manager... 3 2.3 Download aplikace

Více

Návod k obsluze IP kamery Zoneway. IP kamery jsou určené pro odbornou montáž.

Návod k obsluze IP kamery Zoneway. IP kamery jsou určené pro odbornou montáž. Návod k obsluze IP kamery Zoneway. IP kamery jsou určené pro odbornou montáž. Obsah 1 Úvod... 1 2 Návod pro připojení do webového rozhraní... 1 2.1 Připojení kamery k WiFi síti... 4 2.2 Postup nastavení

Více

Použití programu WinProxy

Použití programu WinProxy JIHOČESKÁ UNIVERZITA V ČESKÝCH BUDĚJOVICÍCH PEDAGOGICKÁ FAKULTA KATEDRA INFORMATIKY Použití programu WinProxy pro připojení domácí sítě k internetu Semestrální práce z předmětu Lokální počítačové sítě

Více

TACHOTel manuál 2015 AURIS CZ

TACHOTel manuál 2015 AURIS CZ TACHOTel manuál 2 TACHOTel Obsah Foreword I Úvod 0 3 1 Popis systému... 3 2 Systémové... požadavky 4 3 Přihlášení... do aplikace 5 II Nastavení aplikace 6 1 Instalace... a konfigurace služby ATR 6 2 Vytvoření...

Více

VComNet uživatelská příručka. VComNet. Uživatelská příručka Úvod. Vlastnosti aplikace. Blokové schéma. «library» MetelCom LAN

VComNet uživatelská příručka. VComNet. Uživatelská příručka Úvod. Vlastnosti aplikace. Blokové schéma. «library» MetelCom LAN VComNet Uživatelská příručka Úvod Aplikace VComNet je určena pro realizaci komunikace aplikací běžících na operačním systému Windows se zařízeními, které jsou připojeny pomocí datové sběrnice RS485 (RS422/RS232)

Více

IceWarp Outlook Sync Rychlá příručka

IceWarp Outlook Sync Rychlá příručka IceWarp Mail server 10 IceWarp Outlook Sync Rychlá příručka Verze 10.4 Printed on 20 September, 2011 Instalace Prostudujte si před instalací Na cílové pracovní stanici musí být nainstalovaný program Microsoft

Více

DŮLEŽITÉ INFORMACE, PROSÍM ČTĚTE!

DŮLEŽITÉ INFORMACE, PROSÍM ČTĚTE! DŮLEŽITÉ INFORMACE, PROSÍM ČTĚTE! Tento dodatek k uživatelské příručce obsahuje postup nastavení USB portu pro ADSL modem CellPipe 22A-BX-CZ Verze 1.0 01/2004 Úvod Vážený zákazníku, tento text popisuje

Více

Vzdálená správa v cloudu až pro 250 počítačů

Vzdálená správa v cloudu až pro 250 počítačů Vzdálená správa v cloudu až pro 250 počítačů S pomocí ESET Cloud Administratoru můžete řídit zabezpečení vaší podnikové sítě bez nutnosti nákupu, instalace nebo údržby dalšího hardwaru. Řešení je poskytováno

Více

1. Úvod. 2. CryptoPlus jak začít. 2.1 HW a SW předpoklady. 2.2 Licenční ujednání a omezení. 2.3 Jazyková podpora. Požadavky na HW.

1. Úvod. 2. CryptoPlus jak začít. 2.1 HW a SW předpoklady. 2.2 Licenční ujednání a omezení. 2.3 Jazyková podpora. Požadavky na HW. CryptoPlus KB verze 2.1.2 UŽIVATELSKÁ PŘÍRUČKA říjen 2013 Obsah Obsah 2 1. Úvod 3 2. CryptoPlus jak začít... 3 2.1 HW a SW předpoklady... 3 2.2 Licenční ujednání a omezení... 3 2.3 Jazyková podpora...

Více

Patrol Management System 2.0

Patrol Management System 2.0 Patrol Management System 2.0 Uživatelský manuál RF 5000 Obsah 1 Základní popis aplikačního prostředí 1.1 Hardwarové požadavky 1.2 Aplikační prostředí 1.3 Instalace software 2 Jak používat software 2.1

Více

Možnosti využití Windows Server 2003

Možnosti využití Windows Server 2003 Možnosti využití Windows Server 2003 Seminář z cyklu "Krůček vpřed v uskutečňování standardu služeb ICT" 1 2 3 4 5 6 Konfigurace serveru jako řadiče domény Připojení stanice do domény Vytváření doménových

Více

Nastavení klientských stanic pro webové aplikace PilsCom s.r.o.

Nastavení klientských stanic pro webové aplikace PilsCom s.r.o. Nastavení klientských stanic pro webové aplikace PilsCom s.r.o. Obsah 1. Obecné informace... 1 2. Internetový prohlížeč... 1 3. Nastavení kompatibilního zobrazení... 1 4. Nastavení důvěryhodných serverů...

Více

Vložení expiračního kódu do spojů ALCOMA

Vložení expiračního kódu do spojů ALCOMA do spojů ALCOMA Verze dokumentu: 1.7 Datum vydání: 19.10.2010 Poslední úprava: 18.10.2017 www.alcoma.cz OBSAH str. 1. ÚVOD... CHYBA! ZÁLOŽKA NENÍ DEFINOVÁNA. 2. FACTORY TIME... 4 3. BLOKOVÉ SCHÉMA POSTUPU...

Více

TDP RPort 1.0. uživatelská příručka. 12. července 2007 Na slupi 2a, Praha 2

TDP RPort 1.0. uživatelská příručka. 12. července 2007 Na slupi 2a, Praha 2 uživatelská příručka 12. července 2007 Na slupi 2a, Praha 2 1 Co je? TDP RPort ( remote port ) umožňuje z klientské stanice navázat šifrované spojení pomocí protokolu TCP se sériovým portem serveru a zpřístupnit

Více

Newsletter RIBTEC automatické aktualizace Praktická novinka v servisu a podpoře k softwaru RIBTEC od verzí 15.0

Newsletter RIBTEC automatické aktualizace Praktická novinka v servisu a podpoře k softwaru RIBTEC od verzí 15.0 1.1 Automatické aktualizace RIBTEC Pomocí nového Prostředí automatických aktualizací můžete udržovat Váš software stavební statiky RIBTEC od verzí 15.0 a vyšších na aktuálním stavu. Tento systémový nástroj

Více

Správa licencí pro možnosti Fiery v klientském počítači

Správa licencí pro možnosti Fiery v klientském počítači Správa licencí pro možnosti Fiery v klientském počítači Chcete-li využít možnost Fiery, která je nainstalována v klientském počítači, musíte aktivovat její licenci. Možnost Fiery vyžaduje jedinečný aktivační

Více

Nintex Workflow 2007 je nutné instalovat na Microsoft Windows Server 2003 nebo 2008.

Nintex Workflow 2007 je nutné instalovat na Microsoft Windows Server 2003 nebo 2008. Systémové požadavky Operační systém Nintex Workflow 2007 je nutné instalovat na Microsoft Windows Server 2003 nebo 2008. Prohlížeč Microsoft Internet Explorer 6.x, doporučujeme ale Microsoft Internet Explorer

Více

Naším cílem je Vaše spokojenost...

Naším cílem je Vaše spokojenost... Vážení zákazníci, Naším cílem je Vaše spokojenost... blahopřejeme Vám, že jste se rozhodli pro nákup nové telefonní ústředny řady ATEUS - NETSTAR od českého výrobce 2N TELEKOMUNIKACE a.s. Současně Vás

Více

a autentizovaná proxy

a autentizovaná proxy Mendelova univerzita v Brně Virtuální privátní síť a autentizovaná proxy Verze: 1.2 Datum: 5. dubna 2011 Autor: Martin Tyllich, Aleš Vincenc, Stratos Zerdaloglu 2 Obsah 1 Připojení pomocí proxy serveru

Více

TECHNICKÁ PODPORA. Systémové požadavky Instalace Licencování a aktivace Náplň technické podpory Formy předplatného Kontakty

TECHNICKÁ PODPORA. Systémové požadavky Instalace Licencování a aktivace Náplň technické podpory Formy předplatného Kontakty TECHNICKÁ PODPORA Systémové požadavky Instalace Licencování a aktivace Náplň technické podpory Formy předplatného Kontakty Komu je technická podpora určena? Technická podpora je určená zákazníkům společnosti.

Více

Konfigurace krok za krokem

Konfigurace krok za krokem Konfigurace krok za krokem Kerio Technologies Kerio Technologies. Všechna práva vyhrazena. Datum vydání: 15. srpna 2007 Tento manuál popisuje postup konfigurace lokální sítě s použitím produktu Kerio WinRoute

Více

AIDA64 Extreme. Příručka k nastavení. v 1.1 30. 07. 2014.

AIDA64 Extreme. Příručka k nastavení. v 1.1 30. 07. 2014. Příručka k nastavení v 1.1 30. 07. 2014. je vyvíjen společností FinalWire s.r.o. Copyright 1995-2014 FinalWire s.r.o. Tento dokument byl vytvořen společností ABSEIRA s.r.o. Všechna práva vyhrazena. Copyright

Více

9. Sítě MS Windows. Distribuce Windows. Obchodní označení. Jednoduchý OS pro osobní počítače, pouze FAT, základní podpora peer to peer sítí,

9. Sítě MS Windows. Distribuce Windows. Obchodní označení. Jednoduchý OS pro osobní počítače, pouze FAT, základní podpora peer to peer sítí, 9. Sítě MS Windows MS Windows existoval ve 2 vývojových větvích 9x a NT, tyto později byly sloučeny. V současnosti existují aktuální verze Windows XP a Windows 2003 Server. (Očekává se vydání Windows Vista)

Více

Provozní pokyny. Aplikační stránky

Provozní pokyny. Aplikační stránky Provozní pokyny Aplikační stránky OBSAH Jak číst tuto příručku...2 Použité symboly...2 Vyloučení odpovědnosti...3 Poznámky...3 Co lze na aplikačních stránkách dělat...4 Před použitím aplikačních stránek...5

Více

INISOFT UPDATE - SLUŽBA AUTOMATICKÝCH AKTUALIZACÍ Uživatelská příručka

INISOFT UPDATE - SLUŽBA AUTOMATICKÝCH AKTUALIZACÍ Uživatelská příručka INISOFT UPDATE - SLUŽBA AUTOMATICKÝCH AKTUALIZACÍ Uživatelská příručka Popis funkce Softwarový nástroj INISOFT Update je univerzálním nástrojem pro stahování, údržbu a distribuci programových aktualizací

Více

CS OTE. Dokumentace pro externí uživatele

CS OTE. Dokumentace pro externí uživatele CS OTE OTE Launcher Manager 1/20 Obsah Použité zkratky... 2 1 Úvod... 3 2 Nastavení systému uživatele... 3 2.1 Konfigurace stanice... 3 2.2 Distribuce aplikace OTE Launcher Manager... 3 2.3 Download aplikace

Více

Administrace služby - GTS Network Storage

Administrace služby - GTS Network Storage 1. Návod k ovládání programu Cisco VPN Client (IP SECový tunel pro přístup GTS Network Storage) Program Cisco VPN client lze bezplatně stáhnout z webových stránek GTS pod odkazem: Software ke stažení http://www.gts.cz/cs/zakaznicka-podpora/technicka-podpora/gtspremium-net-vpn-client/software-ke-stazeni.shtml

Více

EPLAN Electric P8 2.7 s databázemi na SQL serveru

EPLAN Electric P8 2.7 s databázemi na SQL serveru EPLAN Electric P8 2.7 s databázemi na SQL serveru EPLAN Electric P8 2.7 k dispozici pouze ve verzi 64bit. EPLAN Electric P8 využívá k ukládání některých dat databáze. Artikly, překladový slovník 1 ) a

Více

Aktualizace a zabezpečení systémů Windows

Aktualizace a zabezpečení systémů Windows Aktualizace a zabezpečení systémů Windows Microsoft Windows Server Update Services 2006, Microsoft Corporation Česká republika Aktualizace a zabezpečení systémů Windows pomocí služby Microsoft Windows

Více

ESET NOD32 ANTIVIRUS 8

ESET NOD32 ANTIVIRUS 8 ESET NOD32 ANTIVIRUS 8 Microsoft Windows 8.1 / 8 / 7 / Vista / XP / Home Server 2003 / Home Server 2011 Stručná příručka Klikněte sem pro stažení nejnovější verze dokumentu ESET NOD32 Antivirus poskytuje

Více

Konfigurace pracovní stanice pro ISOP-Centrum verze 1.21.32

Konfigurace pracovní stanice pro ISOP-Centrum verze 1.21.32 Informační systém ISOP 7-13 Vypracováno pro CzechInvest Konfigurace pracovní stanice pro ISOP-Centrum verze 1.21.32 vypracovala společnost ASD Software, s.r.o. Dokument ze dne 20.2.2015, verze 1.00 Konfigurace

Více

Uživatelský manuál A4000BDL

Uživatelský manuál A4000BDL Uživatelský manuál Aplikace : Jednoduchý program umožňující přenos souboru s pochůzkou k měření z programu DDS 2000 do přístroje řady Adash 4100/4200 Jednoduchý program umožňující přenos naměřených dat

Více

Návod na provedení upgrade IS Harmonik

Návod na provedení upgrade IS Harmonik Návod na provedení upgrade IS Harmonik Ing. Martin Klinger 4.1.2016 Co je to upgrade IS Harmonik? Upgrade systému představuje soubor technických nebo legislativních změn v ekonomickém softwaru Harmonik,

Více

Aktivace Demo licence - Digifort

Aktivace Demo licence - Digifort Aktivace Demo licence - Digifort Rychlý manuál instalace softwaru a aktivace dočasné demo licence 2014 1 Instalace Digifortu Po stažení zvolené verze programu spusťte soubor dvojklikem. Spustí se instalační

Více

STRUČNÝ NÁVOD K POUŽITÍ

STRUČNÝ NÁVOD K POUŽITÍ STRUČNÝ NÁVOD K POUŽITÍ REPOTEC RP-IP0613 Úvod Bandwidth manager REPOTEC (dále jen BM) je levný a jednoduchý omezovač rychlosti pro jakékoliv sítě založené na protokolu TCP/IP. Velice snadno se ovládá

Více

Nastavení L2TP VPN ve Windows

Nastavení L2TP VPN ve Windows Nastavení L2TP VPN ve Windows Pro nastavení L2TP VPN je potřeba provést dva kroky import certifikátů a vlastní konfiguraci VPN připojení. Jedním z certifikátů, které budeme potřebovat, je certifikát certifikační

Více

APS 400 nadministrator

APS 400 nadministrator APS 400 APS 400 nadministrator Balík programů pro správu systému APS 400 Instalační příručka 2004 2008,TECH FASS s.r.o., Plavecká 503, 252 42 Jesenice, www.techfass.cz, techfass@techfass.cz (vydáno dne

Více

XTB VPS. XTB Virtual Private Server manuál

XTB VPS. XTB Virtual Private Server manuál XTB VPS XTB Virtual Private Server manuál Poslední aktualizace: 12/9/2012 Obsah manuálu 1 Úvod... 3 2 Správa serveru... 3 2.1 Přihlášení do administrace serveru... 3 2.2 Karta Obecné... 4 2.2.1 Okno Akce

Více

Dokumentace k produktu IceWarp Notifikační nástroj

Dokumentace k produktu IceWarp Notifikační nástroj Dokumentace k produktu IceWarp Notifikační nástroj Notifikační nástroj umožňuje propojit pracovní stanicí s aplikací IceWarp Web klient. Kromě funkcí pro upozorňování na nové události je pomocí ní možné

Více

CYCLOPE PRINT MANAGEMENT SOFTWARE- UŽIVATELSKÁ PŘÍRUČKA

CYCLOPE PRINT MANAGEMENT SOFTWARE- UŽIVATELSKÁ PŘÍRUČKA CYCLOPE PRINT MANAGEMENT SOFTWARE- UŽIVATELSKÁ PŘÍRUČKA Obsah Cyclope Print Management Software- uživatelská příručka... 1 1. Přehled produktu... 2 2. Stručný popis produtku CPMS... 2 2.1. Stažení CPMS...

Více

Návod pro použití Plug-in SMS Operátor

Návod pro použití Plug-in SMS Operátor Verze: 1.06 Strana: 1 / 17 Návod pro použití Plug-in SMS Operátor 1. Co to je Plug-in modul SMS Operátor? Plug-in modul (zásuvkový modul) do aplikace MS Outlook slouží k rozšíření možností aplikace MS

Více

APS Control Panel. Ovládací panel systému APS mini Plus pro SW balík APS Administrator. Uživatelská příručka

APS Control Panel. Ovládací panel systému APS mini Plus pro SW balík APS Administrator. Uživatelská příručka APS Control Panel Ovládací panel systému APS mini Plus pro SW balík APS Administrator Uživatelská příručka 2004 2015,TECH FASS s.r.o., Věštínská 1611/19, Praha, www.techfass.cz, techfass@techfass.cz (vydáno

Více

POČÍTAČOVÉ SÍTĚ A KOMUNIKACE

POČÍTAČOVÉ SÍTĚ A KOMUNIKACE POČÍTAČOVÉ SÍTĚ A KOMUNIKACE OBOR: EKONOMIKA A PODNIKÁNÍ ZAMĚŘENÍ: VÝPOČETNÍ TECHNIKA FORMA: DENNÍ STUDIUM 1. Počítačové sítě, základní rozdělení počítačových sítí a. vznik a vývoj počítačových sítí b.

Více

APS Web Panel. Rozšiřující webový modul pro APS Administrator. Webové rozhraní pro vybrané funkce programového balíku APS Administrator

APS Web Panel. Rozšiřující webový modul pro APS Administrator. Webové rozhraní pro vybrané funkce programového balíku APS Administrator APS Web Panel Rozšiřující webový modul pro APS Administrator Webové rozhraní pro vybrané funkce programového balíku APS Administrator Instalační a uživatelská příručka 2004 2016,TECH FASS s.r.o., Věštínská

Více

1 Správce licencí Správce licencí Správce licencí Start > Všechny programy > IDEA StatiCa > Správce licencí Soubor > Správce licencí Licence

1 Správce licencí Správce licencí Správce licencí Start > Všechny programy > IDEA StatiCa > Správce licencí Soubor > Správce licencí Licence 1 Správce licencí Programy IDEA jsou chráněny proti neoprávněnému použití. Pro běh programu je vyžadována platná licence. Upozornění: Lokální licence na pracovní stanici a síťová licence Eleckey jsou softwarové

Více

Část 1 - Začínáme. Instalace

Část 1 - Začínáme. Instalace Obsah Část 1 - Začínáme... 4 Instalace... 4 Nastavení domovské obrazovky... 7 Základní nastavení kanceláře... 9 První kroky s Kleosem... 11 Moje první kauza... 15 2 3 Část 1 - Začínáme Instalace Kleos

Více

Velký křízovkářský slovník 4.0 (VKS) Instalace programu

Velký křízovkářský slovník 4.0 (VKS) Instalace programu Velký křízovkářský slovník 4.0 (VKS) Instalace programu Obsah Technické podmínky pro provoz programu minimální konfigurace... 2 Základní informace... 2 Hlavní nabídka instalačního programu... 2 Instalace

Více

LAN se používá k prvnímu nastavení Vašeho DVR a když potřebujete nastavit síť na Vašem DVR pro používání po internetu.

LAN se používá k prvnímu nastavení Vašeho DVR a když potřebujete nastavit síť na Vašem DVR pro používání po internetu. Návod Video Viewer 1.9.9 1 Dodávaný licencovaný software Následující stránky popisují nejpoužívanější funkce software Video Viewer. Podrobnosti o softwaru a jeho nastavení, najdete v rozšířené příručce,

Více